Citrix ADC VPX FIPS认证设备
Citrix ADC VPX FIPS设备验证FIPS 140-2 1级(证书#3732:https://csrc.nist.gov/projects/cryptography-module-validation-program/certificate/3732)由美国国家标准与技术协会(NIST)主办。有关FIPS 140-2标准和验证计划的更多信息,请访问NIST和加拿大网络安全中心(CCCS)密码模块验证计划(CMVP)的网站https://csrc.nist.gov/projects/cryptographic-module-validation-program。
先决条件
对于on-prem管理程序,请从Citrix网站下载特殊的构建版本。下载对应管理程序的完整VPX FIPS包。
VPX FIPS仅支持底层英特尔CPU支持RDRAND和RDSEED指令集的平台。有关支持RDRAND和RDSEED指令集的Intel CPU的更多信息,请检查Intel Architecture文档。
Citrix ADC VPX FIPS许可证。
配置
该模块作为软件包提供,包括应用软件和操作系统。购买Citrix ADC VPX FIPS许可证后,从Citrix网站获取最新的Citrix ADC VPX FIPS图像。
执行以下步骤:
- 将最新的Citrix ADC VPX FIPS图像上传到以下以下虚拟机管理程序之一:ESXi,Citrix虚拟机管理程序,Hyper-V,KVM,AWS,Azure或GCP。
笔记
VPX FIPS在ESX 6.5 U2和ESX 7.0.1.c上有资格。
应用Citrix ADC VPX FIPS许可并热重启设备。
从设备启动后,在CLI运行以下命令:
> show system fipsStatus
您必须收到以下输出。
“系统在FIPS模式下运行”完成>
如果您得到以下输出,请参阅故障排除一节,了解需要解决的步骤。
FipsStatus: "System is operating in non FIPS mode" Done >
- 请遵循下面的配置指南安全部署指南。
VPX FIPS设备上支持的密码
Citrix ADC MPX/SDX 14000 FIPS设备支持的所有密码,除了3DES密码,都支持VPX FIPS设备。有关Citrix ADC VPX FIPS设备支持的密码的完整列表,请参见对Citrix ADC VPX FIPS和MPX FIPS认证设备的密码支持。
升级一个Citrix ADC VPX FIPS认证设备
follow升级Citrix ADC独立设备升级VPX FIPS认证设备。
重要的是:更换。/ installns
命令/ installns - f。
。
限制
VPX FIPS设备不支持RADIUS和TACACS认证。
VPX FIPS是一个单独的图像。不支持从VPX版本升级到VPX FIPS版本。同时,VPX FIPS软件版本不能降级或升级为VPX软件版本。
Citrix ADC SDX和Citrix ADC SDX FIPS设备不支持VPX FIPS图像。
Citrix ADC VPX FIPS目前仅支持单机部署。不支持HA部署。
故障排除
当你运行显示系统fipsStatus
命令和输出如下:
FipsStatus: "System is operating in non FIPS mode" Done >
原因可能是以下之一;
License过期或错误。
不支持硬件。
由于管理核心或数据包引擎的故障后,系统无法提出FIPS模式。
解决:
检查是否安装了正确的Citrix ADC VPX FIPS许可证,并且许可证尚未过期。
检查底层CPU是否支持RDRAND和RDSEED指令集。执行如下命令:
>shell #nsconmsg -g DRBG -g ssl_err -g fips -d statswt0
如果
nsssl_err_fips_drbg_rdrand_not_supported
计数器增量,底层硬件不支持RDRAND和RDSEED指令集。使用实例检查管理核心或包引擎上电自检(POST)故障。
>shell #nsconmsg -g DRBG -g ssl_err -g fips -d statswt0
这
nsssl_err_fips_post_failed柜台
如果在包引擎上启动时POST失败,则增加。也就是说,出现了数据平面故障。如果计数器没有增加,请检查日志文件
(/var/log/fips-post.log)
对于失败的算法测试项。即检查管理核心的POST故障(控制面故障)。在这两种情况下,请联系Citrix支持。