Crear una clave FIPS para una instancia en un dispositivo FIPS SDX 14030/14060/14080
Puede crear una clave FIPS en la instancia o importar una clave FIPS existente en la instancia. Un dispositivo FIPS SDX 14030/14060/14080 admite solo claves de 2048 bits y 3072 bits y un valor exponente de F4. Para las claves PEM, no se requiere un exponente. Verifique que la clave FIPS se haya creado correctamente. Cree una solicitud de firma de certificado y un certificado de servidor. Finalmente, agregue el par certificate-key a su instancia.
Nota:
No se admiten claves de 1024 bits y 4096 bits y un valor exponente de 3.
Crear una clave FIPS mediante la CLI
En el símbolo del sistema, escriba:
create ssl fipsKey -keytype ( RSA | ECDSA ) [-exponent (3 | F4 )] [-modulus ] [-curve ( P_256 | P_384 )] Ejemplo:
create fipsKey f1 -keytype RSA -modulus 2048 -exponent F4 Done show ssl fipskey ddvws FIPS Key Name: f1 Key Type: RSA Modulus: 2048 Public Exponent: F4 (Hex: 0x10001) Done Importar una劈开FIPS mediante la CLI
En el símbolo del sistema, escriba:
import ssl fipsKey -key [-inform ] [-wrapKeyName ] [-iv] [-exponent F4 ] Ejemplo:
import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform SIM -exponent F4 Done import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform PEM Done Compruebe que la clave FIPS se ha creado o importado correctamente ejecutando el comandoshow fipskey.
show fipskey 1) FIPS Key Name: Key-FIPS-2 Done Crear una solicitud de firma de certificado mediante la CLI
En el símbolo del sistema, escriba:
create ssl certReq (-keyFile | -fipsKeyName ) [-keyform ( DER | PEM ) {-PEMPassPhrase }] -countryName -stateName -organizationName [-organizationUnitName ] [-localityName ] [-commonName ] [-emailAddress ] {-challengePassword } [-companyName ] [-digestMethod ( SHA1 | SHA256 )] Ejemplo:
create certreq f1.req –fipsKeyName f1 -countryName US -stateName CA -organizationName Citrix -companyName Citrix -commonName ctx -emailAddress test@example.com` `Done Crear un certificado de servidor mediante la CLI
En el símbolo del sistema, escriba:
create ssl cert [-keyFile ] [-keyform ( DER | PEM ) {-PEMPassPhrase }] [-days ] [-certForm ( DER | PEM )] [-CAcert ] [-CAcertForm ( DER | PEM )] [-CAkey ] [-CAkeyForm ( DER | PEM )] [-CAserial ] Ejemplo:
create cert f1.cert f1.req SRVR_CERT -CAcert ns-root.cert -CAkey ns-root.key -CAserial ns-root.srl -days 1000 Done En el ejemplo anterior se crea un certificado de servidor mediante una CA raíz local en el dispositivo.
Agregar un par de claves de certificado mediante la CLI
En el símbolo del sistema, escriba:
add ssl certKey (-cert [-password]) [-key | -fipsKey | -hsmKey ] [-inform ] [-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod ]] [-bundle ( YES | NO )] Ejemplo:
add certkey cert1 -cert f1.cert -fipsKey f1 Done Después de crear la clave FIPS y el certificado de servidor, puede agregar la configuración SSL genérica. Habilite las funciones necesarias para la implementación. Agregue servidores, servicios y servidores virtuales SSL. Enlace el par de claves de certificado y el servicio al servidor virtual SSL y guarde la configuración.
enable ns feature SSL LB Done add server s1 10.217.2.5 Done add service sr1 s1 HTTP 80 Done add lb vserver v1 SSL 10.217.2.172 443 Done bind ssl vserver v1 –certkeyName cert1 Done bind lb vserver v1 sr1 Done saveconfig Done Para obtener información sobre cómo configurar HTTPS seguro y RPC seguro, haga clicaquí.