VPX FIPS 设备
美国国家标准与技术研究所 (NIST) 正在对 NetScaler VPX FIPS 设备进行 FIPS 140-3 1 级验证(目前正在 IUT 中 https://csrc.nist.gov/projects/cryptographic-module-validation-program/modules-in-process/iut-list)。有关 FIPS 140-3 标准和验证计划的更多信息,请访问 NIST 和加拿大网络安全中心 (CCCS) 加密模块验证计划 (CMVP) 网站 https://csrc.nist.gov/projects/cryptographic-module-validation-program。
注意
- MPX 8900 FIPS、MPX 9100 FIPS、MPX 15000-50G FIPS 和 VPX FIPS 平台仅支持 NetScaler 下载页面中“NetScaler 版本 13.1-FIPS”下列出的固件版本。
- 如果您在运行 12.1-FIPS 软件版本的 NetScaler FIPS 设备上配置了经典策略,请在升级到 13.1-FIPS https://support.citrix.com/article/CTX234821/citrix-adc-deprecated-classic-policy-based-features-and-functionalities-faqs 之前参见。
- 13.1-FIPS 上的 TLS 1.3 只能使用增强型 SSL 配置文件进行配置。有关如何使用配置文件配置 TLS 1.3 的更多信息,请参阅 RFC 8446 中定义的 TLS 1.3 协议支持。
必备条件
-
对于本地虚拟机管理程序,请从 Citrix 网站下载特殊版本。下载相应虚拟机管理程序的完整 VPX FIPS 软件包。
-
NetScaler VPX FIPS 设备需要 FIPS 实例许可证和带宽池才能在池化许可模式中按预期运行。对于非池化许可证,需要具有所需带宽容量的单个 VPX FIPS 许可证。
配置
该模块以软件包的形式提供,包括应用程序软件和操作系统。购买 NetScaler VPX FIPS 许可证后,从 Citrix 网站获取最新的 NetScaler VPX FIPS 图片。
请执行以下步骤:
- 将最新的 NetScaler VPX FIPS 映像上载到以下虚拟机管理程序之一:ESXi、Citrix Hypervisor、Hyper-V、KVM、AWS、Azure 或 GCP。
注意
VPX FIPS 计划在 ESXi 7.0.3 上获得资格认证。
-
申请 NetScaler VPX FIPS 平台许可证和 NetScaler VPX 带宽许可证,然后热重启设备。
-
设备启动后,在 CLI 上运行以下命令:
> show system fipsStatus <!--NeedCopy-->您必须得到以下输出。
FipsStatus: System is operating in FIPS mode Done <!--NeedCopy-->如果您得到以下输出,请参阅疑难解答部分以了解解决方法。
FipsStatus: "System is operating in non FIPS mode" Done > <!--NeedCopy--> - 按照《 安全部署指南》中的配置指南进行操作。
有关使用 RADIUS 进行远程身份验证的信息,请参阅使用 RADI US 配置远程身份验证。
VPX FIPS 设备支持的密码
VPX FIPS 设备支持 NetScaler MPX/SDX 14000 FIPS 设备支持的所有密码,但 3DES 密码除外。有关 NetScaler VPX FIPS 设备支持的密码的完整列表,请参阅以下主题:
升级 VPX FIPS 设备
按照 升级 NetScaler 独立设备 中的步骤升级 VPX FIPS 设备。
重要: 将 ./installns 命令替换为 ./installns -F。
注意:
升级到 13.1 FIPS Build 37.159 或更高版本时,使用 pfx 文件添加证书密钥对会失败。
解决办法:在升级之前,使用 FIPS 认证的密码(例如 AES256)创建 pfx 文件。
示例:
root@ns# cd /nsconfig/ssl/ root@ns# openssl pkcs12 -export -out example.name.pfx -inkey example.key -in example.pem -certpbe AES-256-CBC -keypbe AES-256-CBC <!--NeedCopy-->
限制
-
VPX FIPS 设备不支持 TACACS 身份验证。
-
VPX FIPS 是一张单独的图像。不支持从 VPX 版本升级到 VPX FIPS 版本的软件版本。此外,VPX FIPS 软件版本无法降级或升级到 VPX 软件版本。
-
NetScaler SDX 和 NetScaler SDX FIPS 设备不支持 VPX FIPS 映像。
故障排除
当您运行 show system fipsStatus 命令时,输出如下所示:
FipsStatus: "System is operating in non FIPS mode"
Done
>
<!--NeedCopy-->
原因可能是以下之一;
-
许可证已过期或不正确。
-
系统无法在 FIPS 模式下启动。此错误可能是由于管理核心或数据包引擎上的 POST 故障造成的。
要解决:
-
检查是否安装了正确的 NetScaler VPX FIPS 许可证以及许可证是否已过期。
-
检查管理核心或数据包引擎上是否出现开机自检 (POST) 故障。请运行以下命令:
>shell #nsconmsg -g drbg -g ssl_err -g fips -d statswt0 <!--NeedCopy-->如果 POST 在数据包引擎启动期间失败,则
nsssl_err_fips_post_failed counter增量。也就是说,数据层面出现故障。如果计数器没有增加,请检查日志文件中是否有失败
(/var/log/FIPS-post.log)的算法测试条目。也就是说,检查管理核心上是否出现开机自检故障(控制平面故障)。在这两种情况下,请联系 NetScaler 支持人员。