mpx14000 FIPS设备
重要的是:
NetScaler MPX 14000 FIPS和NetScaler MPX 9700/10500/12500/15500 FIPS设备的配置步骤不同。MPX 14000 FIPS设备不使用固件v2.2。在MPX 9700平台的HSM上创建的FIPS密钥不能转移到MPX 14000平台的HSM上,反之亦然。但是,如果您已经将RSA密钥作为FIPS密钥导入,您可以将RSA密钥复制到MPX 14000平台,然后再以FIPS密钥导入。仅支持2048位和3072位的密钥。
FIPS设备配备了防篡改(防篡改)加密模块——Cavium cnn3560 - nfbe - g,设计用于符合FIPS 140-2 Level-3规范(来自发行版12.0 build 56.x)。关键安全参数(CSPs),主要是服务器的私有密钥,在加密模块(也称为硬件安全模块(HSM))中安全地存储和生成。csp永远不会在HSM的边界之外被访问。只有超级用户(nsroot
)可以对存储在HSM内的键进行操作。
在配置FIPS设备之前,必须检查FIPS卡的状态,然后初始化该卡。创建FIPS密钥和服务器证书,并添加任何额外的SSL配置。
有关支持的FIPS密码的信息,请参见FIPS认可的算法和密码.
有关在高可用性设置中配置FIPS设备的信息,请参见在高可用性设置中配置FIPS设备.
限制
- MPX FIPS设备的后端不支持使用SSLv3协议的SSL重新协商。
- 不支持1024位和4096位的键,指数值为3。
配置HSM
在MPX 14000 FIPS设备上配置HSM之前,必须检查FIPS卡的状态,以验证正确加载了驱动程序,然后初始化卡。
在命令提示符下,输入:
未配置fips卡完成
如果驱动程序没有正确加载,则会出现“错误:操作不允许-系统中没有FIPS卡”的消息。
初始化FIPS卡
为了正确地初始化FIPS卡,必须重新启动设备三次。
重要的
- 验证已经在设备上成功创建了/nsconfig/fips目录。
- 在第三次重新启动设备之前,不要保存配置。
初始化FIPS卡的步骤如下:
- 复位FIPS卡。
- 重新启动设备。
- 设置分区0和1的安全官员密码,分区1的用户密码。
注意:set或reset命令执行时间超过60秒。 - 保存配置。
- 验证主分区的密码加密密钥(master_pek.key)已经在/nsconfig/fips/目录中创建。
- 重新启动设备。
- 验证默认分区的密码加密密钥(default_pek.key)已经在/nsconfig/fips/目录中创建。
- 重新启动设备。
- 检查FIPS卡是否UP。
该任务指导软件调测工程师通过命令行初始化FIPS卡
在命令提示符下,输入以下命令:
reset fips Done reboot set fips -initHSM Level-2 so12345 so12345 user123 -hsmLabel NSFIPS该命令将清除fips卡上的所有数据。执行该命令后,需要保存配置(saveconfig)。(Y/N) Y Done
请注意运行。命令时,系统显示如下信息设置fips命令:
该命令将擦除FIPS卡上的所有数据。执行该命令后,需要保存配置(saveconfig)。在MPX /有关14日【注:xxx FIPS平台,FIPS安全默认是3级,和-initHSM所二级选项是在内部转换为三级)你想要继续吗? (Y / N) Y saveconfig完成重启重启显示FIPS FIPS HSM信息:HSM标签:NSFIPS初始化:FIPS 140 - 2所二级HSM编号:3.0 g1501-icm000083 HSM状态:2 HSM模型:模型信息硬件版本:0.0 g固件版本:1.0固件构建:nfbe -弗兰克-威廉姆斯- 1.0 - 39马克斯FIPS关键内存:102235空闲FIPS密钥内存:102233总SRAM内存:557396空闲SRAM内存:255456总加密核:63启用加密核:63 Done
创建FIPS密钥
您可以在MPX 14000 FIPS设备上创建FIPS密钥,也可以将现有的FIPS密钥导入设备。MPX 14000 FIPS设备只支持2048位和3072位的键和指数值F4。对于PEM键,不需要设置指数。验证是否正确创建了FIPS密钥。创建一个证书签名请求和一个服务器证书。最后,将证书密钥对添加到您的设备。
您必须指定密钥类型(RSA或ECDSA)并指定ECDSA密钥的曲线。
请注意
不支持1024位和4096位键,且指数值为3。
该任务指导管理员通过CLI创建FIPS密钥
在命令提示符下,输入:
create ssl fipsKey -keytype (RSA | ECDSA) [-exponent (3 | F4)] [-modulus ] [-curve (P_256 | P_384)]
例子:
create fipsKey f1 -keytype RSA -modulus 2048 -exponent F4 Done show ssl fipsKey ddvws FIPS Key Name: f1 Key Type: RSA Modulus: 2048 Public Exponent: F4 (Hex: 0x10001) Done
该任务指导管理员通过CLI导入FIPS密钥
在命令提示符下,输入:
import ssl fipsKey -key [-inform ] [-wrapKeyName ] [-iv] -exponent F4]
例子:
import fipskey Key-FIPS-2 -key Key-FIPS-2。key -inform SIM - index F4 Done import fipskey key - fips -2 -key key - fips -2。PEM完成
验证FIPS密钥是否正确创建或导入显示fipskey
命令。
1) FIPS密钥名称:Key-FIPS-2 Done
该任务指导管理员通过CLI创建证书签名请求
在命令提示符下,输入:
create ssl certReq (-keyFile | -fipsKeyName ) [-keyform (DER | PEM) {- pemassphrase}] -countryName -stateName -organizationName [-organizationUnitName ] [-localityName ] [-commonName ] [-emailAddress ] {-challengePassword} [-companyName ] [-digestMethod (SHA1 | SHA256)]
例子:
创建certreq f1。req -fipsKeyName f1 -countryName US -stateName CA -organizationName Citrix -companyName Citrix -commonName ctx -emailAddress test@example.com Done
该任务指导软件调测工程师通过CLI创建服务器证书。必备事项
在命令提示符下,输入:
create ssl cert [-keyFile ][-keyform (DER | PEM) {- pemassphrase}] [-days ] [-certForm (DER | PEM)] [-CAcert ][-CAcertForm (DER | PEM)] [-CAkey ][-CAkeyForm (DER | PEM)] [- cas埃里]
例子:
创建证书f1。cert f1。req SRVR_CERT -CAcert ns-root。cert -CAkey n -root。key - casial ns-root。srl -days 1000 Done
上面的示例使用设备上的本地根CA创建服务器证书。
该任务指导管理员通过CLI添加证书密钥对
在命令提示符下,输入:
add ssl certKey (-cert [-password]) [-key | -fipsKey | -hsmKey ] [-inform ][-expiryMonitor (ENABLED | DISABLED) [-notificationPeriod ]] [-bundle (YES | NO)]
例子:
添加certkey cert1 -cert f1。cert -fipsKey f1 Done
创建FIPS密钥和服务器证书后,可以添加通用SSL配置。启用部署所需的特性。添加服务器、服务和SSL虚拟服务器。将证书密钥对和服务绑定到SSL虚拟服务器。保存配置。
enable ns feature SSL LB Done add server s1 10.217.2.5 Done add service sr1 s1 HTTP 80 Done add LB vserver v1 SSL 10.217.2.172 443 Done bind SSL vserver v1 -certkeyName cert1 Done bind LB vserver v1 sr1 Done saveconfig Done
MPX 14000 FIPS设备的基本配置现在已经完成。
有关配置安全HTTPS的详细信息,请单击在这里.
有关配置安全RPC的信息,请单击在这里.