Créer une clé FIPS pour une instance sur une appliance FIPS SDX 14030/14060/14080

Vous pouvez créer une clé FIPS sur votre instance ou importer une clé FIPS existante dans l’instance. Une appliance FIPS SDX 14030/14060/14080 ne prend en charge que les clés 2048 bits et 3072 bits et une valeur exposant F4. Pour les clés PEM, un exposant n’est pas requis. Vérifiez que la clé FIPS est créée correctement. Créez une demande de signature de certificat et un certificat de serveur. Enfin, ajoutez la paire de clés de certificat à votre instance.

Remarque :

Les clés 1024 bits et 4096 bits et une valeur exposant de 3 ne sont pas prises en charge.

Créer une clé FIPS à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

create ssl fipsKey  -keytype ( RSA | ECDSA ) [-exponent (3 | F4 )] [-modulus ] [-curve ( P_256 | P_384 )] 

Exemple :

create fipsKey f1 -keytype RSA -modulus 2048 -exponent F4 Done show ssl fipskey ddvws FIPS Key Name: f1 Key Type: RSA Modulus: 2048 Public Exponent: F4 (Hex: 0x10001) Done 

Importer une clé FIPS à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

进口ssl fipsKey < fipsKeyName >键<字符串> [- inform ] [-wrapKeyName ] [-iv] [-exponent F4 ] 

Exemple :

import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform SIM -exponent F4 Done import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform PEM Done 

Vérifiez que la clé FIPS est créée ou importée correctement en exécutant la commandeshow fipskey.

show fipskey 1) FIPS Key Name: Key-FIPS-2 Done 

Créer une demande de signature de certificat à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

create ssl certReq  (-keyFile  | -fipsKeyName ) [-keyform ( DER | PEM ) {-PEMPassPhrase }] -countryName  -stateName  -organizationName [-organizationUnitName ] [-localityName ] [-commonName ] [-emailAddress ] {-challengePassword } [-companyName ] [-digestMethod ( SHA1 | SHA256 )] 

Exemple :

create certreq f1.req –fipsKeyName f1 -countryName US -stateName CA -organizationName Citrix -companyName Citrix -commonName ctx -emailAddress test@example.com` `Done 

Créer un certificat de serveur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

create ssl cert    [-keyFile ] [-keyform ( DER | PEM ) {-PEMPassPhrase }] [-days ] [-certForm ( DER | PEM )] [-CAcert ] [-CAcertForm ( DER | PEM )] [-CAkey ] [-CAkeyForm ( DER | PEM )] [-CAserial ] 

Exemple :

create cert f1.cert f1.req SRVR_CERT -CAcert ns-root.cert -CAkey ns-root.key -CAserial ns-root.srl -days 1000 Done 

L’exemple précédent crée un certificat de serveur à l’aide d’une autorité de certification racine locale sur l’appliance.

Ajouter une paire de clés de certificat à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add ssl certKey  (-cert  [-password]) [-key  | -fipsKey  | -hsmKey ] [-inform ] [-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod ]] [-bundle ( YES | NO )] 

Exemple :

add certkey cert1 -cert f1.cert -fipsKey f1 Done 

Après avoir créé la clé FIPS et le certificat de serveur, vous pouvez ajouter la configuration SSL générique. Activez les fonctionnalités requises pour votre déploiement. Ajoutez des serveurs, des services et des serveurs virtuels SSL. Liez la paire de clés de certificat et le service au serveur virtuel SSL et enregistrez la configuration.

enable ns feature SSL LB Done add server s1 10.217.2.5 Done add service sr1 s1 HTTP 80 Done add lb vserver v1 SSL 10.217.2.172 443 Done bind ssl vserver v1 –certkeyName cert1 Done bind lb vserver v1 sr1 Done saveconfig Done 

Pour plus d’informations sur la configuration du protocole HTTPS sécurisé et du RPC sécurisé, cliquezici.