14000年MPX FIPS-Gerate

Wichtig:

• 模具fips - platform MPX 9700/10500/12500/15500 hat das Lebensende erreicht。

• Die konfigationsschritte für NetScaler MPX 14000 FIPS和NetScaler MPX 9700/10500/12500/15500 FIPS- appliances sind unterschiedlich。MPX 14000 FIPS-Appliances verwenden keine固件v2.2。在FIPS-Schlüssel, der auf dem硬件安全模块(HSM) der MPX 9700- platform erstellt wurde, kann nicht an das HSM der MPX 14000- platform übertragen werden。Umgekehrt weird auch nicht unterstützt。中文:RSA-Schlüssel als FIPS-Schlüssel进口哈本，können Sie den RSA-Schlüssel auf die MPX 14000- platform kopieren。重要的事情FIPS-Schlüssel。Es werden nur 2048-Bit und 3072-Bit-Schlüssel unterstützt。

• Die Firmware-Versionen, Die auf der Citrix ADC-下载网站“Citrix ADC Release 12.1-FIPS”和“Citrix ADC Release 12.1-ndcpp”aufgeführt sind, werden auf den MPX 14000 FIPS- oder SDX 14000 FIPS- plattformen nicht unterstützt。Diese Plattformen können andere neueste Citrix ADC-Firmware-Versionen verwenden, die auf der Downloadseite verfügbar sind。

Eine FIPS- appliance ist mit einem machinationsicheren (machinationsicheren) kryptografischen模块- einem Cavium cnn3560 - nbe - g - ausgestattet, das den FIPS 140-2 Level-3-Spezifikationen entspricht (ab Release 12.0 Build 56.x)。Die kritischen sicherheit参数(CSPs)， hauptsächlich der private Schlüssel des Servers, werden sicher gespeichert und innerhalb des kryptografischen模块，auch HSM genannt, gespeichert und generiert。Auf die CSPs wniemals außerhalb der Grenzen des HSM zugegriffen。Nur der Superuser (nsroot) kann Operationen an den im HSM gespeicherten Schlüsseln ausführen。

Bevor Sie eine FIPS-Appliance konfigurieren, müssen Sie den Status der FIPS-Karte überprüfen und dann die Karte initialisieren。Erstellen Sie einen FIPS-Schlüssel und ein Serverzertifikat, und fügen Sie zusätzliche SSL-Konfiguration hinzu。

信息祖登unterstützten FIPS-Chiffern finden Sie unterFIPS-zugelassene算法和chiffn．

信息zum Konfigurieren von fips -电器在einem ha -设置找到Sie underterKonfigurieren von FIPS auf电器在einem HA-Setup．

Einschrankungen

1. SSL-Neuverhandlungen mit dem SSLv3-Protokoll werden im Backend einer MPX-FIPS-Appliance nicht unterstützt。
2. 1024位und 4096-Bit-Schlüssel und Exponentwert von 3 werden nicht unterstützt。
3. Das 4096-Bit-Serverzertifikat wildnicht unterstützt。
4. Das 4096-Bit-Clientzertifikat wildnicht unterstützt (wenn die Clientauthentifizierung auf dem后端服务器aktiviert ist)。

Konfigurieren des HSM

HSM auf einer MPX 14000 FIPS-Appliance konfigurieren， überprüfen FIPS-Karte, um sicherzustellen, dass der Treiber korrekt geladen wurde。你会死的，卡特。

Geben Sie an der Eingabeaufforderung Folgendes ein:

show fips未配置fips卡

Die Meldung“FEHLER: Betrieb nicht zulässig - keine FIPS-Karte im System vorhanden”奇怪的angezeigt, wenn der Treiber nicht korrekt geladen wurde。

Initialisieren der FIPS-Karte

模具设备muss dreimal neu gestartet werden, um Die FIPS-Karte ordnungsgemäß zu initialisieren。

Wichtig

• Stellen Sie sicher, dass das Verzeichnis/ nsconfig fipserfolgreich auf der器具erstellt wurde。
• 我是说，我是说，我是说，我是说，我是说，我是说。

Führen die folgenden Schritte aus, um die FIPS-Karte zu initialisieren:

1. Setzen Sie die FIPS-Karte zurück (重置fips）.
2. 开始Sie das Gerät neu (重新启动）.

3. Legen Sie das Kennwort für den Sicherheitsbeauftragten für die Partitionen 0 und 1 und das Benutzerkennwort für die Partition (set fips -initHSM Level-2 -hsmLabel NSFIPS . set fips -initHSM Level-2 )节日。

   Hinweis: Die Ausführung des Befehls set oder reset dauert mehr als 60 Sekunden。

4. 化妆术(saveconfig）.
5. Stellen Sie sicher, dass der kennwortverschlüsselte Schlüssel für die Hauptpartition (master_pek.key) im Verzeichnis/ nsconfig / fips /erstellt,。
6. 开始Sie das Gerät neu (重新启动）.
7. Stellen Sie sicher, dass der kennwortverschlüsselte Schlüssel für die Standardpartition (default_pek.key) im Verzeichnis/ nsconfig / fips /erstellt,。
8. 开始Sie das Gerät neu (重新启动）.
9. Stellen Sie sicher, dass die FIPS-Karte UP (显示fips)坚持。

Initialisieren Sie die FIPS-Karte über die CLI

Der Befehl设置fipsinitialisiert das硬件安全模块(HSM) auf der FIPS-Karte und legt ein neues Kennwort und ein neues Benutzerkennwort für den Sicherheitsbeauftragten fest。

当心:Dieser Befehl löscht allle Daten auf der FIPS-Karte。你的家乡，你的家乡Befehlsausführung堡垒。Vor und nach dem Ausführen dieses Befehls ist ein Neustart erforderlich, damit die Änderungen übernommen werden。是你的设计，是你的设计，是你的设计ausgeführt是你的设计。

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

reset fips reboot set fips -initHSM Level-2 so12345 so12345 user123 -hsmLabel NSFIPS该命令将清除fips卡上的所有数据。执行该命令后，必须保存配置(saveconfig)。(Y/N) Y 

Hinweis:Die folgende Meldung wild angezeigt, wenn Sie den Befehl设置fipsausfuhren:

这个命令将删除FIPS卡上的所有数据。执行该命令后，必须保存配置(saveconfig)。在MPX /有关14日【注:xxx FIPS平台,FIPS安全默认是3级,和-initHSM所二级选项是在内部转换为三级)你想要继续吗? (Y / N) Y saveconfig重启重启显示FIPS FIPS HSM信息:HSM标签:NetScaler FIPS初始化:FIPS 140 - 2三级HSM编号:3.1 g1836-icm000136 HSM状态:2 HSM模型:NITROX-III CNN35XX-NFBE硬件版本:0.0 g固件版本:1.0固件构建:nfbe -弗兰克-威廉姆斯- 1.0 - 48马克斯FIPS关键内存:102235 Free FIPS Key Memory: 102231 Total SRAM Memory: 557396 Free SRAM Memory: 262780 Total Crypto Cores: 63 Enabled Crypto Cores: 63 

Erstellen进行FIPS-Schlussels

Sie können einen FIPS-Schlüssel auf Ihrer MPX 14000 FIPS-Einheit erstellen oder einen vorhandenen FIPS-Schlüssel在模具电器进口。模具MPX 14000 FIPS-Appliance unterstützt nur 2048位和3072-Bit-Schlüssel und einen Exponentenwert von F4 (dessen Wert 65537 ist)。Für PEM-Schlüssel ist kein Exponent erforderlich。Stellen Sie sicher, dass der FIPS-Schlüssel korrekt erstellt wurde。Erstellen Sie eine Zertifikatsignieranforderung und ein Serverzertifikat。Fügen Sie abschließend das Zertifikatschlüsselpaar zu Ihrer电器hinzu。

Geben Sie den Schlüsseltyp an (RSA oder ECDSA)。Geben Sie für ECDSA-Schlüssel nur die Kurve an。Die ECDSA-Schlüsselerstellung mit Kurve P_256 und P_384怪胎unterstützt。

Hinweis:

1024位und 4096-Bit-Schlüssel und ein Exponentenwert von 3 werden nicht unterstützt。

Erstellen Sie über die CLI einen FIPS-Schlüssel

Geben Sie an der Eingabeaufforderung Folgendes ein:

create ssl fipsKey  -keytype (RSA | ECDSA) [-exponent (3 | F4)] [-modulus ] [-curve (P_256 | P_384)] 

例二:

create fipsKey f1 -keytype RSA -modulus 2048 -exponent F4 show ssl fipsKey f1 FIPS Key Name: f1 Key Type: RSA Modulus: 2048 Public index: F4 (Hex: 0x10001) 

Example2:

> create fipskey f2 -keytype ECDSA -curve P_256 > sh fipskey f2 FIPS Key Name: f2 Key Type: ECDSA Curve: P_256 

Erstellen eines FIPS-Schlüssels mit der GUI

1. Navigieren您祖茂堂流量管理> SSL > FIPS．
2. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel aufHinzufugen．

3. Geben Sie im dialog ogfeld FIPS-Schlüssel erstellen Werte für die folgenden

   • FIPS-Schlusselname * -FIPSKeyname
   • 模件*模块
   • 指数*指数

   * Ein erforderlicher参数

4. Klicken您再见Erstellen， und klicken Sie dann aufSchließen．
5. Vergewissern Sie siich auf der Registerkarte fis - tasten, dass die für den von Ihnen erstellten FIPS-Schlüssel angezeigten Einstellungen korrekt sind。

Importieren进行FIPS-Schlussels

Um einen vorhandenen FIPS-Schlüssel mit Ihrer FIPS-Appliance zu verwenden, müssen Sie den FIPS-Schlüssel von der Festplatte der Appliance in das HSM übertragen。

Hinweis:呃，费勒·贝姆·进口者的名字FIPS-Schlüssels祖·弗梅登，斯特·西切尔，德·进口者的名字Schlüssels mit dem ursprünglichen Schlüsselnamen übereinstimmt，阿尔尔·厄斯特·伍德。

Importieren eines FIPS-Schlüssels mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

import ssl fipsKey  -key  [-inform ] [-wrapKeyName ] [-iv] -exponent F4] 

Beispiel:

import fipskey Key-FIPS-2 -key Key-FIPS-2。key -inform SIM - index F4 import fipskey key - fips -2 -key key - fips -2。key -inform PEM 

Stellen Sie sicher, dass der FIPS-Schlüssel korrekt erstellt oder进口wurde, indem Sie den显示fipskeyBefehl ausfuhren。

show fipskey 1) FIPS密钥名:Key-FIPS-2 

Importieren eines FIPS-Schlüssels mit der GUI

1. Navigieren您祖茂堂流量管理> SSL > FIPS．

2. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel aufImportieren．

3. Wählen Sie im Dialogfeld Als FIPS-Schlüssel importieren die FIPS-Schlüsseldatei aus und legen Sie Werte für die folgenden参数fest:

   • FIPS-Schlusselname *
   • Schlüsseldateiname* -我的祖国，我的祖国，我的祖国，我的祖国，我的祖国vollständigen我的祖国，我的祖国Durchsuchenund navigieren Sie zu einem Speicherort。
   • 指数*

   * Ein erforderlicher参数

4. Klicken您再见Importieren和丹汪汪汪Schließen．

5. Vergewissern Sie siich auf der Registerkarte fifs - tasten, dass die für den importierten FIPS-Schlüssel angezeigten Einstellungen korrekt sind。

Exportieren进行FIPS-Schlussels

Citrix empfiehlt, ein Backup eines Schlüssels zu erstellen, der im FIPS HSM erstellt wurde。温恩在Schlüssel我的HSM gelöscht奇怪，können你的快乐Schlüssel我的快乐，我的快乐，我的快乐。

Zusätzlich zum extieren eines Schlüssels als备份müssen Sie möglicherweise einen Schlüssel für die Übertragung auf eine andere家电出口商。

德语德语德语德语德语德语德语德语德语德语德语德语德语德语/ nsconfig / sslauf dem CompactFlash der Appliance und zum Sichern des exportierten Schlüssels mithilife einer starken asymmetrischen Schlüsselverschlüsselungsmethode。

出口商Sie einen FIPS-Schlüssel über die CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

export ssl fipsKey  -key  

Beispiel:

export fipskey Key-FIPS-1 -key Key-FIPS-1。关键< !——NeedCopy >

出口商Sie einen FIPS-Schlüssel über die GUI

1. Navigieren您祖茂堂流量管理> SSL > FIPS．

2. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel aufExportieren．

3. Geben Sie im Dialogfeld FIPS-Schlüssel in eine Datei exportieren Werte für die folgenden

   • FIPS-Schlusselname * -FIPSKeyname
   • 日期名* - Schlüssel (Um die Datei an einem anderen als dem Standardspeicherort abzulegen, können Sie entweder den vollständigen pad angeben oder auf die Schaltfläche Durchsuchen klicken und zu einem Speicherort navigieren.)

   * Ein erforderlicher参数

4. Klicken您再见Exportieren和丹汪汪汪Schließen．

Importieren eines externen Schlüssels

Sie können FIPS-Schlüssel übertragen, die im HSM der Citrix ADC-Appliance erstellt wurden。Sie können auh externe private Schlüssel (wie Schlüssel, die mit einem Standard-Citrix ADC, Apache oder IIS erstellt wurden) auf eine Citrix ADC FIPS-Appliance übertragen。externne Schlüssel werden außerhalb des HSM mithilfe eines Tools wie OpenSSL erstell。比弗的einen外部Schlüssel在HSM的进口，kopieren的Sie ihn auf的闪光劳福克电器下/ nsconfig / ssl．

Auf den MPX 14000 fips -电器根据参数-指数im Befehl进口ssl fipskeybeim Importieren eines externen Schlüssels nicht erforderlich。。

Die Citrix ADC FIPS-Appliance unterstützt keine externen Schlüssel mit einem anderen öffentlichen指数3 oder F4。

您benötigen keinen Wrap Key auf den MPX 14000 fips -电器。

您können einen外部，verschlüsselten FIPS-Schlüssel nicht direckt in eine MPX 14000 fips -电器进口。嗯den Schlüssel祖国人，müssen你祖国人Schlüssel entschlüsseln和dann importieren。Um den Schlüssel zu entschlüsseln, geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

openssl rsa -in  > < DecryptedKey。> < !——NeedCopy >

Hinweis:Wenn Sie einen RSA-Schlüssel als FIPS-Schlüssel importieren, empfiehlt Citrix, den RSA-Schlüssel aus Sicherheitsgründen aus der Appliance zu löschen。

重要的是Schlüssel als FIPS-Schlüssel über die Befehlszeilenschnittstelle

1. Kopieren Sie den externen Schlüssel auf das Flash-Laufwerk der Appliance。

2. Wenn der Schlüssel im PFX-Format ist, müssen Sie ihn zuerst in das pemformat konvertieren。Geben Sie an der Eingabeaufforderung Folgendes ein:

   convert ssl pkcs12 <输出文件> -import -pkcs12File  -password <密码> 

3. 德国人的世界，德国人的世界Schlüssel FIPS-Schlüssel德国人的世界，德国人的世界überprüfen:

   import ssl fipsKey  -key  -informPEM show ssl fipsKey  

Beispiel:

转换SSL pkcs12 iis。iis. pem -password 123456 -import -pkcs12Filefipskey Key-FIPS-2 -key iis. pfx导入fipskeypem -inform pem show ssl fipskey Key-FIPS-2 FIPS密钥名称:Key-FIPS-2模量:0公共指数:F4 (Hex value 0x10001) 

重要的是它的外部Schlüssel als FIPS-Schlüssel über die grafische Benutzeroberfläche

1. Wenn der Schlüssel im PFX-Format ist, müssen Sie ihn zuerst in das pemformat konvertieren。

   1. Navigieren您祖茂堂流量管理> SSL．
   2. Klicken Sie im Detailbereich unter Tools aufPKCS importieren # 12．
   3. Stellen Sie im Dialogfeld PKCS12-Datei importieren die folgenden参数
      • 名字der Ausgabedatei *
      • PKCS12-Dateiname* - Geben Sie den Pfx-Dateinamen an。
      • Kennwort importieren *
      • Kodierungsformat *Ein erforderlicher参数

2. Navigieren您祖茂堂流量管理> SSL > FIPS．

3. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel aufImportieren．

4. Wählen Sie im Dialogfeld Als FIPS-Schlüssel importieren die PEM-Datei aus und legen Sie Werte für die folgenden参数fest:

   • FIPS-Schlusselname *
   • Schlüsseldateiname* -这个国家的国家的国家的国家的国家的国家的国家的国家的国家的国家，können我们的国家vollständigen我们的国家的国家的国家的国家的国家的国家。

   * Ein erforderlicher参数

5. Klicken您再见Importieren和丹汪汪汪Schließen．

6. Vergewissern Sie siich auf der Registerkarte fifs - tasten, dass die für den importierten FIPS-Schlüssel angezeigten Einstellungen korrekt sind。

Konfigurieren von FIPS auf电器在einem HA-Setup

Sie können zwei电器在einem HA-Paar als fips -电器konfigurieren。

Voraussetzungen

• Das硬件安全模块(HSM)必须在设备中使用。Weitere Informationen finden Sie underKonfigurieren des HSM．
• Stellen Sie bei Verwendung der GUI sicher, dass sich die电器在einem HA-Setup befinden。我知道了，我知道了，一切都安排好了Hochverfugbarkeit．

Hinweis:

Citrix empfiehlt, das konfigationsdienstprogram (GUI) für dieses Verfahren zu verwenden。(CLI) verwenden, stellen Sie sicher, dass Sie die im Verfahren aufgeführten Schritte sorgfältig ausführen。Das Ändern der Reihenfolge der Schritte oder Das Angeben einer falschen Eingabedatei kann zu Inkonsistenzen führen, die einen Neustart der Appliance erfordert。Wenn Sie die CLI verwenden, wild der Befehl创建ssl fipskeyaußerdem nicht an den sekundären Knoten weitergegeben。我想知道你们是怎么做的，我们是怎么做的，我们是怎么做的。厄斯特伦你知道FIPS-Schlüssel我知道übertragen我知道你知道。Wenn Sie jedoch das konfigationsdienstprogram verwenden, um FIPS-Appliances in einem HA-Setup zu konfigurieren, wid der von ihnenerstellte FIPS-Schlüssel automatisch an den sekundären Knoten übertragen。Das Verwalten和Übertragen der FIPS-Schlüssel wals sicheres信息管理(SIM) bezeichnet。

Wichtig:Das HA-Setup必须在内部halb von sechs min abgeschlosen sein。Wenn das Verfahren bei irgendeinem Schritt fehlschlägt, gehen Sie wie folgt vor:

1. 启动Sie das Gerät neu oder warten Sie 10分钟。
2. 那是我的爱，我的爱。
3. Wiederholen Sie den HA-Setup-Vorgang。

Verwenden Sie keine vorhandenen Dateinamen wider。

我的folgenden Verfahren ist电器A der primäre Knoten和电器B der sekundäre Knoten。

Konfigurieren Sie FIPS auf电器在einem HA-Setup über die Befehlszeilenschnittstelle

Das folgende图解快速den Übertragungsprozess auf der CLI zusammen。

Abbildung 1。Übertragen你死了FIPS-Schlüsselzusammenfassung

1. Offnen您再见设备一eine SSH-Verbindung zur Appliance mithilfe eines SSH-Clients, z. B. PuTTY。

2. Melden Sie sich den行政管理信息部门。

3. Initialisieren Sie Appliance A als Quell-Appliance。Geben Sie an der Eingabeaufforderung Folgendes ein:

   init ssl fipsSIMsource  

   Beispiel:

   init fipsSIMsource / nsconfig / ssl / nodeA.cert

4. Kopieren Sie diese Datei< certFile >auf Appliance B im orner /nconfig/ssl. auf Appliance B im orner /nconfig/ssl. auf

   Beispiel:

   scp / nsconfig / ssl / nodeA。cert nsroot@198.51.100.10: / nsconfig / ssl

5. Offnen您设备B汪汪汪mithilfe eines SSH-Clients wie PuTTY eine SSH-Verbindung zur Appliance。

6. Melden Sie sich den行政管理信息部门。

7. Initialisieren Sie Appliance B als zel -Appliance。Geben Sie an der Eingabeaufforderung Folgendes ein:

   init ssl fipsSIMtarget    

   Beispiel:

   init fipsSIMtarget / nsconfig / ssl / nodeA。cert / nsconfig / ssl / nodeB。键/ nsconfig / ssl / nodeB.secret

8. Kopieren Sie diese Datei< targetSecret >改设备。

   Beispiel:

   scp / nsconfig / ssl / fipslbdal0801b。秘密nsroot@198.51.100.20: / nsconfig / ssl

9. Aktivieren您设备改一种器具一种奎尔器具。Geben Sie an der Eingabeaufforderung Folgendes ein:

   enable ssl fipsSIMSource   

   Beispiel:启用fipsSIMsource / nsconfig / ssl / nodeB。秘密/ nsconfig / ssl / nodeA.secret

10. Kopieren Sie diese Datei< sourceSecret >改设备B。

    Beispiel:scp / nsconfig / ssl / fipslbdal0801b。秘密nsroot@198.51.100.10: / nsconfig / ssl

11. Aktivieren您Einheit B汪汪汪Einheit B als zel - appliance。Geben Sie an der Eingabeaufforderung Folgendes ein:

    enable ssl fipsSIMtarget   

    Beispiel:启用fipsSIMtarget / nsconfig / ssl / nodeB。键/ nsconfig / ssl / nodeA.secret

12. Erstellen您电器一汪汪汪einen FIPS-Schlüssel, wie unterErstellen进行FIPS-Schlusselsbeschrieben。

13. 出口商是den FIPS-Schlüssel auf die fest plate der Appliance, wie靠窗户FIPS-Schlussel exportierenbeschrieben。

14. Kopieren Sie den FIPS-Schlüssel auf die Festplatte der sekundären Appliance mithilife eines sicheren Dateiübertragungsdienstprogramms, z. B. SCP。

15. Importieren您设备B汪汪汪den FIPS-Schlüssel von der Festplatte in das HSM der Appliance, wie unter靠窗户FIPS-Schlussel importierenbeschrieben。

Konfigurieren Sie FIPS auf Appliances in einem HA-Setup über die grafische Benutzeroberfläche

1. 导航员电器，模具primäre奎尔电器konfiguriert werden soll, zu流量管理> SSL > FIPS．
2. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Info aufSIM aktivieren．
3. Geben我是对话框SIM für HA-Paar aktivierenim TextfeldZertifikatsdateiname窝Dateinamen静脉。Der Dateiname muss den Pfad zu dem Speicherort enthalten，一个名为FIPS-Zertifikat auf Der Quell-Appliance gespeichert werden muss的dem。
4. Geben Sie我是Textfeld键向量Dateiname窝Dateinamen静脉。Der Dateiname muss den Pfad zu dem Speicherort enthalten, Der FIPS-Schlüsselvektor auf Der Quell-Appliance gespeichert werden muss。
5. Geben Sie我是Textfeld目标机密文件名den Speicherort für die Speicherung der geheimen Daten auf der zel - appliance in。
6. Geben Sie我是Textfeld源机密文件名den Speicherort für die Speicherung der geheimen Daten auf der quel - appliance in。
7. 您螺母辅助系统登录凭据死Werte皮毛Benutzername和Kennwort静脉．
8. Klicken您再见好吧．Die fips - appliance sind jetzt im HA-Modus konfiguriert。

Hinweis:在HA einen Erstellen Sie nach der Konfiguration der Appliances FIPS-Schlüssel，网址Erstellen进行FIPS-Schlusselsbeschrieben。Der FIPS-Schlüssel wild automatisch von Der primären auf die sekundäre Appliance übertragen。

Erstellen einer Zertifikatsignaturanforderung mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

create ssl certReq  (-keyFile  | -fipsKeyName ) [-keyform (DER | PEM) {- pemassphrase}] -countryName  -stateName  -organizationName [-organizationUnitName ] [-localityName ] [-commonName ] [-emailAddress ] {-challengePassword} [-companyName ] [-digestMethod (SHA1 | SHA256)] 

Beispiel:

>创建certreq f1。req -fipsKeyName f1 -countryName US -stateName CA -organizationName Citrix -companyName Citrix -commonName ctx -emailAddress test@example.com Done 

Erstellen eines Serverzertifikats über die CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

create ssl cert    [-keyFile ][-keyform (DER | PEM) {- pemassphrase}] [-days ] [-certForm (DER | PEM)] [-CAcert ][-CAcertForm (DER | PEM)] [-CAkey ][-CAkeyForm (DER | PEM)] [- caserate ] 

Beispiel:

创建cert f1。cert f1。req SRVR_CERT -CAcert ns-root. txtcert凝固了的ns-root。关键-CAserial ns-root。srl -days 1000已完成

我vorangegangenen Beispiel wirin Serverzertifikat mithilfe einer lokalen Stammzertifizierungsstelle auf der Appliance erstellt。

Hinzufügen eines Zertifikatschlüsselpaars mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add ssl certKey  (-cert  [-password]) [-key  | -fipsKey  | -hsmKey ] [-inform ][-expiryMonitor (ENABLED | DISABLED) [-notificationPeriod ]] [-bundle (YES | NO)] 

Beispiel:

添加certkey cert1 -cert f1。证书-fipsKey f1 

Nachdem Sie den FIPS-Schlüssel und das Serverzertifikat erstellt haben, können Sie die generische SSL-Konfiguration hinzufügen。Aktivieren Sie die Funktionen, die für Ihre Bereitstellung erforderlich sind。Fügen Sie Server, Dienste und virtuelle SSL-Server hinzu。Binden Sie das Zertifikatschlüsselpaar und den Dienst an den virtuellen SSL-Server。Speichern Sie die Konfiguration。

enable ns feature SSL LB add server s1 10.217.2.5 add service sr1 s1 HTTP 80 add LB vserver v1 SSL 10.217.2.172 443 bind SSL vserver v1 -certkeyName cert1 bind LB vserver v1 sr1 saveconfig 

Die Grundkonfiguration Ihrer MPX 14000 FIPS设备仪表。

我知道了，我知道了，我知道了，我知道了FIPS konfigurierenklicken。

我知道，我知道，我知道，我知道，我知道zum ersten Mal auf FIPS konfigurierenklicken。

Aktualisieren der Lizenz auf einer MPX 14000 fips电器

Jedes Update der Lizenz auf柴油机平台erfordert zwei Neustarts。

1. Aktualisieren Sie die Lizenz im order/ nsconfig /许可证．
2. 启动Sie die电器neu。
3. Melden Sie sich bei der Einheit an。
4. 开始Sie das Gerät erneut neu。Hinweis:Fügen我们的国家的新开端，新开端，新开端，新开端，新开端，新开端。
5. Melden Sie siich der Appliance and stellen sisiher, class FIPS durch Ausführen des Befehls显示ssl fipsinitialisiert将。

Unterstützung für den Hybrid-FIPS-Modus auf den平台MPX 14000 FIPS和SDX 14000 FIPS

Hinweis:

Diese Funktion unr auf der neuen MPX/SDX 14000 fips - platform unterstützt, die eine primäre FIPS-Karte und eine oder mehrere Sekundärkarten enthält。Es wwnicht auf einer vpx - platform oder einer platform unterstützt, die nur einen Hardwarekartentyp enthält。

Auf einer fips - platform erfolgt die不对称对称Verschlüsselung und Entschlüsselung aus Sicherheitsgründen Auf der FIPS-Karte。Sie können jedoch einen Teil dieser Aktivität(不对称)auf einer fip -Karte ausführen und die Massenverschlüsselung und -entschlüsselung(对称)auf eine andere Karte übertragen, ohne die Sicherheit Ihrer Schlüssel zu beeinträchtigen。

Die neue MPX/SDX 14000 fips -平台enthält eine Primärkarte和eine oder mehrere Sekundärkarten。Wenn Sie den Hybrid-FIPS-Modus aktivieren, werden die geheimen Entschlüsselungsbefehle vor dem Master auf der Primärkarte ausgeführt, da der private Schlüssel auf dieser Karte gespeichert ist。死Massenverschlüsselung und -entschlüsselung ward jedoch auf死Sekundärkarte abgeladen。柴油卸载erhöht den Massenverschlüsselungsdurchsatz auf einer MPX/SDX 14000 fips - platform im Vergleich zum Nicht-Hybrid-FIPS-Modus und der vorhandenen MPX 9700/10500/12500/15000 fips - platform erheblich。duch die Aktivierung des Hybrid-FIPS-Modus wauh die SSL-Transaktion pro Sekunde auf dieser platform verbessert。

Hinweise:

• Der hybride FIPS-Modus ist standardmäßig deaktiviert, um die strength Zertifizierungsanforderungen zu erfüllen, bei denen die gesamte Kryptoberechnungen in einem FIPS-zertifizierten Modul durchgeführt werden müssen。Aktivieren Sie den Hybridmodus, um die Massenverschlüsselung und -entschlüsselung auf die sekundäre Karte zu übertragen。

• Auf einer SDX 14000 fips - platform müssen Sie zuerst der VPX-Instanz einen SSL-Chip zuweisen, bevor Sie den hybridmodaktivieren。

Aktivieren Sie den Hybrid-FIPS-Modus über die CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

参数hybridFIPSMode当该模式被启用时，系统将使用额外的加密硬件来加速对称加密操作。取值:ENABLED、DISABLED默认值:DISABLED 

Beispiel:

set SSL参数-hybridFIPSMode ENABLED show SSL参数高级SSL参数----------------------- . . . . . . . . . . . .混合FIPS模式:ENABLED . . . . . . . . . . . .<！——NeedCopy >

Aktivieren Sie den Hybrid-FIPS-Modus über die GUI

1. Navigieren您祖茂堂流量管理> SSL．
2. Klicken Sie im Detailbereich unter设置汪汪汪Erweiterte SSL-Einstellungen andern．
3. 民意调查我是Dialogfeld Erweiterte SSL-Einstellungen ändern死亡的选择混合FIPS-Modus来自。

Einschrankungen:

1. Neuverhandlungen werden nicht unterstützt。

2. Der Befehlstat ssl参数auf einer SDX 14000，平台时间，地点，korrekten Prozentsatz der sekundärenEs zeigt immer 0,00% Auslastung an。

stat ssl ssl摘要# ssl卡当前1 # ssl卡UP 1 # ssl从卡当前4 # ssl从卡UP 4 ssl引擎状态1 ssl会话(速率)963从卡利用率(%)0.00