将FIPS卡上的固件升级到2.2版

注意:

MPX 9700/10500/12500/15500 FIPS平台已经使用寿命结束。

FIPS固件版本2.2支持TLS协议版本1.1和1.2。通过命令行，您可以将Citrix ADC MPX 9700/10500/12500/15500 FIPS设备的FIPS卡固件版本从版本1.1升级到版本2.2。

为了在高可用性(HA)对中成功地将SIM密钥从主服务器传播到辅助服务器，每个设备上的Cavium固件版本必须相同。首先在辅助设备上执行固件更新。如果首先在主设备上执行固件更新，则长时间运行的更新过程会导致故障转移。

限制

• 仅SSL虚拟服务器和前端SSL业务支持安全重协商。
• 使用在固件版本1.1上创建并更新到固件版本2.2的密钥创建证书签名请求失败。
• 在固件版本2.2上不能创建1024位的RSA密钥。但是，如果您已经在固件版本1.1上导入或创建了1024位FIPS密钥，然后您将其更新到固件版本2.2，那么您可以在固件版本2.2上使用该FIPS密钥。
• 不支持1024位RSA密钥。
• 不支持使用SSLv3协议的安全重协商。
• 固件升级完成后，现有虚拟服务器、内部、前端和后端业务默认禁用TLSv1.1和TLSv1.2。要使用TLS 1.1/1.2，必须在升级后在SSL实体上显式启用这些协议。
• 如果您将固件降级到1.1版本，则在固件版本2.2中创建的FIPS密钥不可用。

先决条件

从m.giftsix.com的下载页面下载以下文件。这些文件必须存储在设备上的/var/nsinstall目录中。

• FW 2.2文件:FW-2.2-130013
• FW 2.2签名文件:FW-2.2-130013.sign

建议固件版本为“FW-2.2-130013”。它包括改进DRBG的修复。

在独立设备上将FIPS固件更新到2.2版

1. 使用管理员凭据登录到设备。

2. 在提示符下，输入以下命令以确认FIPS卡已初始化。

   显示fips fips HSM信息:HSM标签:Citrix ADC fips初始化:fips 140 - 2所二级HSM编号:3.0 g1235-icm000264 HSM状态:2 HSM模型:氮化物XL CN1620-NFBE硬件版本:2.0 g固件版本:1.1固件发布日期:Jun04, 2010 Max fips关键内存:3996免费fips关键内存:3992总SRAM内存:467348 Free SRAM内存:62512 Crypto Cores: 3 Enabled Crypto Cores: 1 Done 

3. 保存配置。在提示符处输入:

   保存配置< !——NeedCopy >

4. 执行更新。在提示符处输入:

   update ssl fips -fipsFW <提取内容的路径>/CN16XX-NFBE-FW-2.2-1300013 

   当出现以下提示时，按Y键:

   此命令将更新FIPS固件的兼容版本。执行该命令前，必须保存当前配置(saveconfig)。执行该命令后需要重启系统才能生效。(Y/N)Y Done 

注意:您只需要指定固件文件，因为固件签名文件在同一位置。

更新时间长达10秒。update命令正在阻塞，这意味着在该命令完成之前不会执行其他操作。当命令执行完成时，命令提示符会重新出现。

1. 重新启动设备。在提示符处输入:

   reboot确定重新启动NetScaler (Y/N)?[N]: Y < !——NeedCopy >

2. 验证更新是否成功。在提示符处输入:

   显示fips < !——NeedCopy >

   说明固件版本必须为2.2。例如:

   sh fips fips HSM信息:HSM标签:Citrix ADC fips初始化:fips 140 - 2所二级HSM编号:2.1 g1207-ic002429 HSM状态:2 HSM模型:氮化物XL CN1620-NFBE硬件版本:2.0 g固件版本:2.2固件构建:nfbe -弗兰克-威廉姆斯- 2.2 - 130013 Max fips关键内存:3996免费fips关键内存:3982总SRAM内存:467348 Free SRAM: 50472 Total Crypto Cores: 3 Enabled Crypto Cores: 1 Done 

在高可用性对上的设备上更新FIPS固件到版本2.2

1. 登录到辅助节点并执行“在独立设备上将FIPS固件更新到2.2版”中描述的更新。

   强制辅助节点成为主节点。在提示符处输入:

   力故障转移< !——NeedCopy >

   新闻Y在确认提示下。

2. 登录到新的辅助节点(旧的主节点)并执行“在独立设备上将FIPS固件更新到2.2版本”中描述的更新。

3. 强制新的辅助节点再次成为主节点。在提示符处输入:

   力故障转移< !——NeedCopy >

   新闻Y在确认提示下。

在独立设备上将FIPS固件更新到1.1版本

1. 下载nfb_firmware-r1235_100604和nfb_firmware-r1235_100604。从m.giftsix.com上的下载页面将文件签名到设备上的相同目录。

2. 使用管理员凭据登录到设备。

3. 在提示符处输入:

   update ssl fips -fipsFW /<文件>/nfb_firmware-r1235_100604