在高可用性设置中配置FIPS设备
注意:
mpx9700 /10500/12500/15500 FIPS平台已经寿终正。
可以将HA对中的两个设备配置为FIPS设备。有关配置HA设置的信息,请参见高可用性.
注意:Citrix建议在此过程中使用配置实用程序(GUI)。如果使用命令行方式,请严格按照操作步骤进行操作。更改步骤顺序或指定不正确的输入文件可能导致不一致,从而需要重新启动设备。此外,如果使用命令行方式,可以使用创建SSL fipskey命令不会传播到辅助节点。当您在两个不同的FIPS设备上使用相同的模量大小和指数输入值运行该命令时,生成的键是不相同的。在其中一个节点上创建FIPS密钥,然后将其传输到另一个节点。但是,如果使用配置实用程序在HA设置中配置FIPS设备,则创建的FIPS密钥将自动传输到辅助节点。管理和传输FIPS密钥的过程被称为安全信息管理(SIM)。
重要的是:在MPX 9700/10500/12500/15500 FIPS设备上,HA设置必须在6分钟内完成。如果该过程超过6分钟,FIPS卡的内部计时器将超时,并出现以下错误消息:
错误:操作超时或重复,请等待10分钟,然后重做SIM/HA配置步骤。
如果出现此消息,请重新启动设备或等待10分钟,然后重复HA设置过程。
在以下过程中,设备A是主节点,设备B是辅助节点。
使用CLI在高可用性设置中配置FIPS设备
设备A,使用SSH客户端(如PuTTY)打开到设备的SSH连接。
使用管理员凭证登录到设备。
将设备A初始化为源设备。在命令提示符下,输入:
init ssl fipsSIMsource例子:
init fipsSIMsource /nsconfig/ssl/nodeA.cert . init复制这个
< certFile >文件到设备B,在/nconfig/ssl文件夹中。例子:
scp / nsconfig / ssl / nodeA。cert nsroot@198.51.100.10: / nsconfig / ssl关于设备B,使用SSH客户端(如PuTTY)打开到设备的SSH连接。
使用管理员凭证登录到设备。
将设备B初始化为目标设备。在命令提示符下,输入:
init ssl fipsSIMtarget例子:
初始化fipsSIMtarget /nsconfig/ssl/nodeA. initcert / nsconfig / ssl / nodeB。键/ nsconfig / ssl / nodeB.secret复制这个
< targetSecret >文件到设备A。例子:
scp / nsconfig / ssl / fipslbdal0801b。秘密nsroot@198.51.100.20: / nsconfig / ssl设备A,启用设备A作为源设备。在命令提示符下,输入:
启用ssl fipsSIMSource例子:
启用fipsSIMsource /nsconfig/ssl/nodeB。秘密/ nsconfig / ssl / nodeA.secret复制这个
< sourceSecret >文件到设备B。例子:
scp / nsconfig / ssl / fipslbdal0801b。秘密nsroot@198.51.100.10: / nsconfig / ssl关于设备B,启用设备B作为目标设备。在命令提示符下,输入:
启用ssl fipsSIMtarget例子:
启用fipsSIMtarget /nsconfig/ssl/nodeB。键/ nsconfig / ssl / nodeA.secret设备A,创建FIPS密钥,具体操作请参见创建FIPS密钥.
将FIPS密钥导出到设备的硬盘,如中所述导出FIPS密钥.
使用安全文件传输实用程序(如SCP)将FIPS密钥复制到次要设备的硬盘上。
关于设备B,将FIPS密钥从硬盘导入设备的HSM,如中所述导入已存在的FIPS密钥.
使用GUI在高可用性设置中配置FIPS设备
- 在要配置为源设备的设备上,导航到流量管理> SSL > FIPS.
- 在详细信息窗格的“FIPS信息”页签中,单击使SIM.
- 在为SIM卡开启HA Pair对话框,转到证书文件名文本框中。键入文件名,以及FIPS证书必须存储在源设备上的位置的路径。
- 在密钥矢量文件名文本框,输入文件名,以及FIPS密钥向量必须存储在源设备上的位置的路径。
- 在目标秘密文件名文本框中,键入用于在目标设备上存储秘密数据的位置。
- 在源机密文件名文本框中,键入源设备上用于存储秘密数据的位置。
- 点击好吧.FIPS设备现在配置为HA模式。
- 如中所述,创建FIPS密钥创建FIPS密钥.FIPS密钥自动从主服务器转移到从服务器。
下图总结了转移过程。
图1。传输FIPS密钥摘要
