在高可用性设置中的设备上配置FIPS
重要!MPX 9700/10500/12500/15500 FIPS平台已经达到了使用寿命。
您可以将高可用性(HA)对中的两个设备配置为FIPS设备。
先决条件
注意:Citrix建议您在此过程中使用配置实用程序(GUI)。如果使用命令行方式,请严格按照步骤中列出的步骤进行操作。更改步骤顺序或指定不正确的输入文件可能导致不一致,从而需要重新启动设备。另外,如果使用命令行方式,则创建ssl fipskey命令不会传播到辅助节点。当您在两个不同的FIPS设备上使用相同的模数大小和指数输入值运行该命令时,生成的键是不相同的。在其中一个节点上创建FIPS密钥,然后将其传输到另一个节点。但是,如果您使用配置实用程序在HA设置中配置FIPS设备,那么您创建的FIPS密钥将自动转移到辅助节点。管理和传输FIPS密钥的过程称为安全信息管理(SIM)。
重要的是:HA设置必须在6分钟内完成。如果该程序在任何步骤中失败,请执行以下操作:
- 重新启动该设备或等待10分钟。
- 删除过程创建的所有文件。
- 重复HA设置过程。
不要重用现有的文件名。
在下面的过程中,设备A是主节点,设备B是辅助节点。
使用CLI在高可用性设置中的设备上配置FIPS
CLI下的传输过程如下图所示。
图1。传输FIPS键摘要
在设备,使用SSH客户机(如PuTTY)打开到设备的SSH连接。
使用管理员凭据登录到设备。
初始化设备A作为源设备。在命令提示符处,输入:
init ssl fipsSIMsource例子:
init fipsSIMsource / nsconfig / ssl / nodeA.cert复制这个
< certFile >文件到设备B,在/nconfig/ssl文件夹中。例子:
scp / nsconfig / ssl / nodeA。cert nsroot@198.51.100.10: / nsconfig / ssl在设备B,使用SSH客户机(如PuTTY)打开到设备的SSH连接。
使用管理员凭据登录到设备。
初始化设备B作为目标设备。在命令提示符处,输入:
init ssl fipsSIMtarget例子:
init fipsSIMtarget / nsconfig / ssl / nodeA。cert / nsconfig / ssl / nodeB。键/ nsconfig / ssl / nodeB.secret复制这个
< targetSecret >文件到设备A。例子:
scp / nsconfig / ssl / fipslbdal0801b。秘密nsroot@198.51.100.20: / nsconfig / ssl在设备,启用设备A作为源设备。在命令提示符处,输入:
enable ssl fipsSIMSource例子:
启用fipsSIMsource / nsconfig / ssl / nodeB。秘密/ nsconfig / ssl / nodeA.secret复制这个
< sourceSecret >文件到设备B。例子:
scp / nsconfig / ssl / fipslbdal0801b。秘密nsroot@198.51.100.10: / nsconfig / ssl在设备B,启用设备B作为目标设备。在命令提示符处,输入:
enable ssl fipsSIMtarget例子:
启用fipsSIMtarget / nsconfig / ssl / nodeB。键/ nsconfig / ssl / nodeA.secret在设备,创建FIPS密钥创建FIPS密钥.
如中所述,将FIPS密钥导出到设备的硬盘导出FIPS密钥.
使用安全的文件传输实用程序(如SCP)将FIPS密钥复制到辅助设备的硬盘上。
在设备B,将FIPS键从硬盘导入到设备的HSM中,如导入已有的FIPS密钥.
使用GUI在高可用性设置中的设备上配置FIPS
- 在要配置为源(主要)设备的设备上,导航到流量管理> SSL > FIPS.
- 在详细信息窗格的FIPS Info选项卡上,单击使SIM.
- 在启用HA Pair的SIM对话框中的证书文件名文本框中,键入文件名。文件名必须包含FIPS证书必须存储在源设备上的位置的路径。
- 在关键矢量文件名文本框中,键入文件名。文件名必须包含FIPS键向量必须存储在源设备上的位置的路径。
- 在目标机密文件名文本框中,键入用于在目标设备上存储机密数据的位置。
- 在源机密文件名文本框中,键入在源设备上存储机密数据的位置。
- 下辅助系统登录凭据,输入值用户名和密码.
- 点击好吧.FIPS设备现在配置为HA模式。
注意:在HA中配置设备后,创建FIPS密钥,如中所述创建FIPS密钥.FIPS键自动从主设备转移到辅助设备。