MPX 14000 fipsアプラaaplアンス

重要：

• MPX 9700/10500/12500/15500 fipsプラットフォ，ムは終焉を迎えている。

• NetScalerMPX 14000FIPSおよびNetScalerMPXの構成手順9700/10500/12500/15500 FIPSアプラescアンスは異なります。MPX 14000FIPSアプラ转换器アンスはファ转换器ムウェアv2.2を使用しません。9700年MPXプラットフォームのハードウェアセキュリティモジュール(HSM)で作成されたFIPSキーは,MPX 14000プラットフォームのHSMに転送できません。もう一方のラウンドもサポ，トされていません。ただし,RSAキーをFIPSキーとしてインポートした場合は,RSAキーをMPX 14000プラットフォームにコピーできます。次に，fipsキとしてンポトします。2048ビットと3072ビットのキのみがサポトされています。

• Citrix ADCダウンロードページの”Citrix ADCリリース12.1 FIPS“および”Citrix ADCリリース12.1 -ndcpp“にリストされているファームウェアのバージョンは,MPX 14000 FIPSまたは有关14000年FIPSプラットフォームではサポートされていません。これらのプラットフォームでは,ダウンロードページで入手できる他の最新のCitrix ADCファームウェアバージョンを使用できます。

FIPSアプライアンスには,改ざん防止(改ざん防止)暗号化モジュール(Cavium CNN3560-NFBE-G)が装備されており,FIPS 140 - 2レベル3仕様(リリース12.0ビルド56。x以降)に準拠するように設計されています。クリティカルセキュリティパラメータは(CSP),主にサーバーの秘密鍵であり,HSMとも呼ばれる暗号化モジュール内に安全に格納され,生成されます。CSPは，hsmの境界外でアクセスされることはありません。スパユザ(nsroot)だけが，hsm内に格納されているキ，に対して操作を実行できます。

FIPSアプライアンスを設定する前に,FIPSカードの状態を確認し,カードを初期化する必要があります。Fipsキ，とサ，バ，証明書を作成し，追加のSSL構成を追加します。

サポトされているfips暗号の詳細にいては，”Fips承認アルゴリズムと暗号を参照してください。

Haセットアップでのfipsアプライアンスの構成の詳細については,HAセットアップのアプライアンスでのFIPSの構成を参照してください。

制限事項

1. SSLv3プロトコルを使用したSSL再ネゴシエーションは,MPX FIPSアプライアンスのバックエンドではサポートされません。
2. 1024ビットおよび4096ビットのキと指数値3はサポトされていません。
3. 4096ビットサバ証明書はサポトされていません。
4. 4096年ビットのクライアント証明書はサポートされていません(バックエンドサーバーでクライアント認証が有効になっている場合)。

hsmの構成

14000年MPX FIPSアプライアンスでHSMを構成する前に,FIPSカードの状態をチェックして,ドライバが正しくロードされていることを確認します。次に，カ，ドを初期化します。

コマンドプロンプトで入力します。

未配置fips卡

ドライバが正しくロードされていない場合は,“エラー:操作が許可されていません——システムにFIPSカードがありません”というメッセージが表示されます。

Fipsカ，ドの初期化

Fipsカドを適切に初期化するには，アプラアンスを3回再起動する必要があります。

重要

• アプラ@ @アンスで/ nsconfig fipsディレクトリが正常に作成されたことを確認します。
• アプラesc escアンスを3回目に再起動する前に，設定を保存しないでください。

Fipsカ，ドを初期化するには，次の手順に従います。

1. Fipsカ，ドをリセットします(重置fips)。
2. アプラescアンスを再起動します(重新启动)。

3. パティション0と1にはセキュリティ担当者のパスワドを設定し，分区(set fips -initHSM Level-2 -hsmLabel NSFIPS)にはユ，ザ，パスワ，ドを設定します。

   注:设置またはresetコマンドの実行には60秒以上かかります。

4. 設定を保存します(saveconfig)。
5. メンパティション(master_pek.key)のパスワドで暗号化されたキが/ nsconfig / fips /ディレクトリに作成されていることを確認します。
6. アプラescアンスを再起動します(重新启动)。
7. デフォルトパ，ティション(default_pek.key)のパスワ，ドで暗号化されたキ，が/ nsconfig / fips /ディレクトリに作成されていることを確認します。
8. アプラescアンスを再起動します(重新启动)。
9. Fipsカ，ドが稼働していることを確認します(显示fips）。

Cliを使用してfipsカドを初期化します

设置fipsコマンドは,FIPSカードのハードウェアセキュリティモジュール(HSM)を初期化し,新しいセキュリティ担当者のパスワードとユーザーパスワードを設定します。

注意：このコマンドは，fipsカ，ド上のすべてのデ，タを消去します。コマンドの実行を続行する前に，プロンプトが表示されます。変更を適用するには，このコマンドの実行前と実行後に再起動が必要です。このコマンドを実行した後、アプライアンスを再起動する前に、設定を保存します。

コマンドプロンプトで，次のコマンドを入力します。

reset fips reboot set fips -initHSM Level-2 so12345 so12345 user123 -hsmLabel NSFIPS该命令将清除fips卡上的所有数据。执行该命令后，需要保存配置(saveconfig)。(Y/N) Y 

注:设置fipsコマンドを実行すると，次のメッセ，ジが表示されます。

该命令将擦除FIPS卡上的所有数据。执行该命令后，需要保存配置(saveconfig)。在MPX /有关14日【注:xxx FIPS平台,FIPS安全默认是3级,和-initHSM所二级选项是在内部转换为三级)你想要继续吗? (Y / N) Y saveconfig重启重启显示FIPS FIPS HSM信息:HSM标签:NetScaler FIPS初始化:FIPS 140 - 2三级HSM编号:3.1 g1836-icm000136 HSM状态:2 HSM模型:NITROX-III CNN35XX-NFBE硬件版本:0.0 g固件版本:1.0固件构建:nfbe -弗兰克-威廉姆斯- 1.0 - 48马克斯FIPS关键内存:102235空闲FIPS密钥内存:102231总SRAM内存:557396空闲SRAM内存:262780总加密内核:63启用加密内核:63 

Fipsキ，を作成する

14000年MPX FIPSアプライアンスでFIPSキーを作成するか,既存のFIPSキーをアプライアンスにインポートできます。MPX 14000 fipsアプラaaplアンスは、2048 ビットと 3072 ビットのキーと、指数値 F4 (その値は 65537) のみをサポートします。PEM キーの場合、指数は不要です。FIPS キーが正しく作成されていることを確認します。証明書署名要求とサーバー証明書を作成します。最後に、証明書とキーのペアをアプライアンスに追加します。

キタプ(rsaまたはecdsa)を指定します。Ecdsaキ，の場合は，カ，ブだけを指定します。カブp_256およびp_384のecdsaキの作成がサポトされています。

注：

1024ビットおよび4096ビットのキ，および指数値3はサポトされていません。

Cliを使用してfipsキを作成する

コマンドプロンプトで入力します。

create ssl fipsKey  -keytype (RSA | ECDSA) [-exponent (3 | F4)] [-modulus ] [-curve (P_256 | P_384)] 

例二:

create fipsKey f1 -keytype RSA -modulus 2048 -exponent F4 show ssl fipsKey f1 FIPS密钥名称:f1密钥类型:RSA模量:2048公共指数:F4(十六进制:0x10001) 

Example2:

> create fipskey f2 -keytype ECDSA -curve P_256 > sh fipskey f2 FIPS密钥名称:f2密钥类型:ECDSA曲线:P_256 

GUIを使用してfipsキ，を作成する

1. ［トラフィック管理]> [ssl] > [fips]に移動します。
2. 詳細ウィンドウの[fipsキ]タブで，[追加]をクリックします。

3. [fipsキの作成]ダアログボックスで，次のパラメタの値を指定します。

   • FIPSキ，名* -fipsKeyName . conf
   • モジュラス*-モジュラス
   • 指数*-指数

   *必須パラメ，タ

4. (创建)をクリックしてから，(关闭)をクリックします。
5. [fipsキ]タブで，作成したfipsキに対して表示された設定が正しいことを確認します。

Fipsキをンポトする

既存のFIPSキーをFIPSアプライアンスで使用するには,アプライアンスのハードディスクからHSMにFIPSキーを転送する必要があります。

注:FIPSキーのインポート時のエラーを回避するには,インポートされたキーの名前が,作成時の元のキー名と同じであることを確認してください。

Cliを使用してfipsキをンポトする

コマンドプロンプトで入力します。

import ssl fipsKey  -key  [-inform ] [-wrapKeyName ] [-iv] -exponent F4] 

例:

import fipskey Key-FIPS-2 -key Key-FIPS-2。key -inform SIM - index F4 import fipskey key - fips -2 -key key - fips -2。PEM 

显示fipskeyコマンドを実行して，fipsキが正しく作成またはンポトされていることを確認します。

1) FIPS密钥名称:Key-FIPS-2 

GUIを使用してfipsキをンポトする

1. ［トラフィック管理]> [ssl] > [fips]に移動します。

2. 詳細ウィンドウの[fipsキ]タブで，[ンポ，ト]をクリックします。

3. (FIPSキーとしてインポート]ダイアログボックスで,[FIPSキーファイル]を選択し,次のパラメータの値を設定します。

   • Fipsキ，名* .
   • 密钥文件名字*——デフォルト以外の場所にファイルを配置するには,完全なパスを指定するか,(参照]をクリックして場所に移動します。
   • 指数*

   *必須パラメ，タ

4. ［ンポ，ト]をクリックし，[閉じる]をクリックします。

5. (FIPSキー]タブで,インポートしたFIPSキーに対して表示される設定が正しいことを確認します。

Fipsキ，をエクスポ，トする

Fips hsmで作成されたキ，のバックアップを作成することをお勧めします。HSM内のキーが削除された場合,同じキーを再度作成することはできず,それに関連付けられているすべての証明書は役に立たなくなります。

キーをバックアップとしてエクスポートするだけでなく,別のアプライアンスに転送するためにキーをエクスポートする必要がある場合があります。

次の手順では，FIPSキ，をアプラ/ nsconfig / sslフォルダにエクスポートし,強力な非対称キー暗号化方式を使用してエクスポートされたキーを保護する方法について説明します。

Cliを使用してfipsキ，をエクスポ，トする

コマンドプロンプトで入力します。

export ssl fipsKey  -key  

例:

export fipskey Key-FIPS-1 -key Key-FIPS-1。关键< !——NeedCopy >

GUIを使用してfipsキ，をエクスポ，トする

1. ［トラフィック管理]> [ssl] > [fips]に移動します。

2. 詳細ウィンドウの[fipsキ]タブで，[エクスポ，ト]をクリックします。

3. [fipsキをファルにエクスポト]ダアログボックスで，次のパラメタの値を指定します。

   • FIPSキ，名* -fipsKeyName . conf
   • ファイル名*——キー(デフォルト以外の場所にファイルを配置するには,完全パスを指定するか,[参照]ボタンをクリックして場所を指定します)。

   *必須パラメ，タ

4. [エクスポ，ト]をクリックし，[閉じる]をクリックします。

外部キをンポトする

Citrix ADCアプラaapl . exeアンスのHSM内に作成されたFIPSキ，を転送できます。外部秘密鍵(標準のCitrix ADC, ApacheまたはIISで作成された鍵など)をCitrix ADC FIPSアプライアンスに転送することもできます。外部キは，OpenSSLなどのルを使用してHSMの外部で作成されます。外部キをhsmにンポトする前に，/ nsconfig / sslの下にあるアプラ@ @アンスのフラッシュドラ@ @ブにコピ@ @します。

MPX 14000 fipsアプラアンスでは，外部キのンポト時に，导入SSL fipskeyコマンドの-exponentパラメ，タは不要です。キーのインポート時に正しい公開指数が自動的に検出され,指数パラメータの値は無視されます。

Citrix ADC FIPSアプライアンスは,3またはF4以外の公開指数を持つ外部キーをサポートしていません。

MPX 14000 fipsアプラ转换器アンスにはラップキ转换器は必要ありません。

外部の暗号化されたFIPSキーをMPX 14000 FIPSアプライアンスに直接インポートすることはできません。キをンポトするには，まずキを復号化してからンポトする必要があります。キ，を復号化するには，シェルプロンプトで次のように入力します。

openssl rsa -in  >  < !——NeedCopy >

注：RSAキーをFIPSキーとしてインポートする場合は,セキュリティ上の理由からRSAキーをアプライアンスから削除することをお勧めします。

Cliを使用して外部キをfipsキとしてンポトする

1. 外部キをアプラアンスのフラッシュドラブにコピします。

2. キ，が。pfx形式の場合は，まずPEM形式に変換する必要があります。コマンドプロンプトで入力します。

   convert ssl pkcs12 <输出文件> -import -pkcs12File <输入。pfx文件> -password <密码> 

3. コマンドプロンプトで次のコマンドを入力して,外部キーをFIPSキーとしてインポートし,設定を確認します。

   import ssl fipsKey  -key  -informPEM show ssl fipsKey  

例:

转换SSL pkcs12 iis。iis. pem -password 123456 -import -pkcs12Fileii . pfx import fipskey Key-FIPS-2 -keypem -inform pem show ssl fipskey Key-FIPS-2 FIPS密钥名称:Key-FIPS-2模量:0公共指数:F4(十六进制值0x10001) 

GUIを使用して外部キをfipsキとしてンポトする

1. キ，が。pfx形式の場合は，まずPEM形式に変換する必要があります。

   1. ［トラフィック管理]> [ssl。]に移動します。
   2. 詳細ウィンドウの[ル]で，[PKCS #12のンポト]をクリックします。
   3. [pkcs12ファルのンポト]ダアログボックスで，次のパラメタを設定します。
      • 出力ファesc escル名* .
      • Pkcs12ファル名*-。PFXファepxル名を指定します。
      • パスワドのンポト* .
      • エンコ，ド形式*必須パラメ，タ

2. ［トラフィック管理]> [ssl] > [fips]に移動します。

3. 詳細ウィンドウの[fipsキ]タブで，[ンポ，ト]をクリックします。

4. (FIPSキーとしてインポート]ダイアログボックスで,(PEMファイル]を選択し,次のパラメータの値を設定します。

   • Fipsキ，名* .
   • 密钥文件名字*——デフォルト以外の場所にファイルを配置するには,完全パスを指定するか,“参照”(浏览)をクリックして場所に移動します。

   *必須パラメ，タ

5. ［ンポ，ト]をクリックし，[閉じる]をクリックします。

6. (FIPSキー]タブで,インポートしたFIPSキーに対して表示される設定が正しいことを確認します。

Haセットアップのアプラesc escアンスでfipsを構成する

1のhaペアに2のアプラアンスをfipsアンスとして設定できます。

前提条件

• 両方のアプライアンスで硬件安全模块(HSM)を構成する必要があります。詳細にいては，”HSMの設定を参照してください。
• guiを使用する場合，アプラaaplアンスでhaセットアップ済みであることを確認します。Haセットアップの構成の詳細にいては，”高可用性を参照してください。

注：

この手順には，構成ユ，ティリティ(gui)を使用することをお勧めします。コマンドラaapl . exe (cli)を使用する場合は，手順に記載されている手順に注意深く従ってください。ステップの順序を変更したり,誤った入力ファイルを指定したりすると,アプライアンスの再起動を必要とする不整合が発生する可能性があります。また，cliを使用する場合，创建SSL fipskeyコマンドはセカンダリノ，ドに伝播されません。2つの異なるFIPSアプライアンスでモジュラスサイズと指数に同じ入力値を指定してコマンドを実行すると,生成されるキーは同じではありません。いずれかのノドでfipsキを作成し，もう一方のノドに転送します。ただし,構成ユーティリティを使用してHAセットアップでFIPSアプライアンスを構成すると,作成したFIPSキーが自動的にセカンダリノードに転送されます。Fipsキ，を管理および転送するプロセスは，セキュア情報管理(sim)と呼ばれます。

重要：Haセットアップは6分以内に完了する必要があります。いずれかの手順で手順が失敗した場合は，次の操作を行います。

1. アプラ▪▪アンスを再起動するか，10分間待▪▪ます。
2. プロシジャで作成されたすべてのファルを削除します。
3. 哈セットアップ手順を繰り返します。

既存のファ@ @ル名を再利用しないでください。

次の手順では,アプライアンス一がプライマリノード,アプライアンスBがセカンダリノードです。

Cliを使用してhaセットアップのアプラaapl . exeアンスでfipsを構成する

次の図は，cliで転送プロセスをまとめたものです。

図1:fipsキ，サマリ，を転送する

1. アプラesc escアンスaで， PuTTYなどのSSHクラaapl . exeアントを使用してアプラaapl . exeアンスへのSSH接続を開きます。

2. 管理者の資格情報を使用して，アプラ。

3. アプラアンスaをソスアプラアンスとして初期化します。コマンドプロンプトで入力します。

   init ssl fipsSIMsource  

   例:

   init fipsSIMsource /nsconfig/ssl/nodeA.cert . init

4. この< certFile >ファルをアプラアンスBの/nconfig/sslフォルダにコピします。

   例:

   scp / nsconfig / ssl / nodeA。cert nsroot@198.51.100.10: / nsconfig / ssl

5. アプラesc escアンスbで， PuTTYなどのSSHクラaapl . exeアントを使用してアプラaapl . exeアンスへのSSH接続を開きます。

6. 管理者の資格情報を使用して，アプラ。

7. アプラ▪▪アンスbをタ▪▪ゲットアプラ▪▪アンスとして初期化します。コマンドプロンプトで入力します。

   init ssl fipsSIMtarget    

   例:

   初始化fipsSIMtarget /nsconfig/ssl/nodeA. initcert / nsconfig / ssl / nodeB。键/ nsconfig / ssl / nodeB.secret

8. この< targetSecret >ファルをアプラアンスaにコピします。

   例:

   scp / nsconfig / ssl / fipslbdal0801b。秘密nsroot@198.51.100.20: / nsconfig / ssl

9. アプラesc escアンスaで，アプラe @ e @ e @ e @ e @ e @ e @ e @ e @ e @ e。コマンドプロンプトで入力します。

   启用ssl fipsSIMSource   

   例:启用fipsSIMsource /nsconfig/ssl/nodeB。秘密/ nsconfig / ssl / nodeA.secret

10. この< sourceSecret >ファルをアプラアンスbにコピします。

    例:scp / nsconfig / ssl / fipslbdal0801b。秘密nsroot@198.51.100.10: / nsconfig / ssl

11. アプラesc escアンスbで，アプラaapl . exe，アプラaapl . exe，アプラaapl . exe，アプラaapl . exe。コマンドプロンプトで入力します。

    启用ssl fipsSIMtarget   

    例:启用fipsSIMtarget /nsconfig/ssl/nodeB。键/ nsconfig / ssl / nodeA.secret

12. アプラesc escアンスで，fipsキ，の作成の説明に従ってFipsキ，を作成します。

13. Fipsキ，のエクスポ，トの説明に従って，Fipsキをアプラアンスのハドディスクにエクスポトします。

14. SCPなどの安全なファイル転送ユーティリティを使用して,セカンダリアプライアンスのハードディスクにFIPSキーをコピーします。

15. アプラesc escアンスで，fipsキのンポトの説明に従って，FipsキをハドディスクからアプラアンスのHSMにンポトします。

GUIを使用してhaセットアップのアプラaaplアンスでfipsを構成する

1. ソスアプラアンスとして設定するアプラアンスで，トラフィック管理> SSL > fipsに移動します。
2. 詳細ウィンドウの[fips情報]タブで，[模拟を有効にする]をクリックします。
3. ［Haペアのsimを有効にする]ダ电子邮箱アログボックスの[証明書ファ@ @ル名]テキストボックスに，ファreeル名を入力します。ファイル名には,ソースアプライアンス上のFIPS証明書を保存する必要がある場所へのパスが含まれている必要があります。
4. ［キベクトルファル名]テキストボックスに，ファreeル名を入力します。ファイル名には,ソースアプライアンス上のFIPSキーベクトルを格納する必要がある場所へのパスが含まれている必要があります。
5. ［タゲットシクレットファル名]テキストボックスに，タゲットアプラアンス上のシクレットデタを格納する場所を入力します。
6. ［ソスシクレットファル名(源秘密文件名称)]テキストボックスに,ソースアプライアンス上のシークレットデータを格納する場所を入力します。
7. ［セカンダリシステムのログ@ @ン資格情報]で，[ユ，ザ，名]と[パスワ，ド]の値を入力します。
8. 好吧をクリックします。これで，fipsアプラアンスがhaモドに設定されます。

注:Haでアプラアンスを設定したら，fipsキの作成の説明に従ってFipsキ，を作成します。Fipsキは，プラマリからセカンダリアプラアンスに自動的に転送されます。

Cliを使用して証明書署名要求を作成する

コマンドプロンプトで入力します。

create ssl certReq  (-keyFile  | -fipsKeyName ) [-keyform (DER | PEM) {- pemassphrase}] -countryName  -stateName  -organizationName [-organizationUnitName ] [-localityName ] [-commonName ] [-emailAddress ] {-challengePassword} [-companyName ] [-digestMethod (SHA1 | SHA256)] 

例:

>创建certreq f1。req -fipsKeyName f1 -countryName US -stateName CA -organizationName Citrix -companyName Citrix -commonName ctx -emailAddress test@example.com Done 

Cliを使用してサ，バ，証明書を作成する

コマンドプロンプトで入力します。

create ssl cert    [-keyFile ][-keyform (DER | PEM) {- pemassphrase}] [-days ] [-certForm (DER | PEM)] [-CAcert ][-CAcertForm (DER | PEM)] [-CAkey ][-CAkeyForm (DER | PEM)] [- cas埃里] 

例:

创建证书f1。cert f1。req SRVR_CERT -CAcert ns-root。cert -CAkey n -root。key - casial ns-root。srl -days 1000 Done 

ca。

Cliを使用した証明書とキ，のペアの追加

コマンドプロンプトで入力します。

add ssl certKey  (-cert  [-password]) [-key  | -fipsKey  | -hsmKey ] [-inform ][-expiryMonitor (ENABLED | DISABLED) [-notificationPeriod ]] [-bundle (YES | NO)] 

例:

添加certkey cert1 -cert f1。cert -fipsKey f1 

Fipsキ，とサ，バ，証明書を作成したら，汎用SSL設定を追加できます。展開に必要な機能を有効にします。サバ，サビス，およびSSL仮想サバを追加します。証明書とキのペアとサビスをSSL仮想サバにバンドします。構成を保存します。

enable ns feature SSL LB add server s1 10.217.2.5 add service sr1 s1 HTTP 80 add LB vserver v1 SSL 10.217.2.172 443 bind SSL vserver v1 -certkeyName cert1 bind LB vserver v1 sr1 saveconfig 

これで，mpx 14000 fipsアプラ显卡アンスの基本構成が完了しました。

セキュアHTTPSの構成の詳細にいては，”Fipsの構成をクリックしてください。

セキュアRPCの構成の詳細にいては，[fipsの構成]を初めてクリックしてください。

MPX 14000 fipsアプラaapl . exeアンスのラaapl . exeセンスを更新する

このプラットフォムでラセンスを更新するには，2回再起動する必要があります。

1. / nsconfig /许可证フォルダ内のラ@ @センスを更新します。
2. アプラ@ @アンスを再起動します。
3. アプラ@ @アンスにログオンします。
4. アプラ@ @アンスを再起動します。注:2回目の再起動の前に,新しいコマンドを追加したり,設定を保存したり,システム状態をチェックしたりしないでください。
5. アプラ电子邮箱アンスにログオンし，显示SSL fipsコマンドを実行してfipsが初期化されていることを確認します。

MPX 14000 FIPSおよび有关14000年FIPSプラットフォームでのハイブリッドFIPSモードのサポート

注：

この機能は1つのプライマリFIPSカードと1つ以上のセカンダリカードを含む新しいMPX /有关14000 FIPSプラットフォームでのみサポートされます。VPXプラットフォームや,1種類のハードウェアカードのみを含むプラットフォームではサポートされていません。

FIPSプラットフォームでは,セキュリティ上の理由から,非対称および対称の暗号化と復号化がFIPSカードで実行されます。ただし,FIPSカードでこのアクティビティの一部(非対称)を実行し,キーのセキュリティを損なうことなく,バルク暗号化と復号化(対称)を別のカードにオフロードできます。

新しいMPX /有关14000 FIPSプラットフォームには,1枚のプライマリカードと1つ以上のセカンダリカードが含まれています。ハ@ @ブリッド@ @ fipsモ@ @ドを有効にすると、秘密キーがこのカードに保存されるため、プリマスターシークレット復号化コマンドがプライマリカードで実行されます。ただし、バルク暗号化と復号化はセカンダリカードにオフロードされます。このオフロードにより、非ハイブリッド FIPS モードおよび既存の MPX 9700/10500/12500/15000 FIPS プラットフォームと比較して、MPX/SDX 14000 FIPS プラットフォームでのバルク暗号化スループットが大幅に向上します。ハイブリッド FIPS モードを有効にすると、このプラットフォームでの 1 秒あたりの SSL トランザクションも向上します。

メモ:

• ハイブリッドFIPSモードは,すべての暗号計算をFIPS認定モジュール内で行う必要がある厳格な認証要件を満たすために,デフォルトで無効になっています。ハブリッドモドを有効にして，バルク暗号化と復号化をセカンダリカドにオフロドします。

• 有关14000年FIPSプラットフォームでは,ハイブリッドモードを有効にする前に,まずVPXインスタンスにSSLチップを割り当てる必要があります。

Cliを使用してハopen open open open open open open open open open open open open

コマンドプロンプトで入力します。

参数hybridFIPSMode当启用该模式时，系统将使用额外的加密硬件来加速对称加密操作。取值范围:ENABLED、DISABLED默认值:DISABLED 

例:

set SSL参数-hybridFIPSMode ENABLED show SSL参数高级SSL参数----------------------- . . . . . . . . . . . .混合FIPS模式:ENABLED . . . . . . . . . . . .<！——NeedCopy >

GUIを使用してハaapl . exeブリッドfipsモ. exeドを有効にする

1. ［トラフィック管理]> [ssl。]に移動します。
2. 詳細ウィンドウの[設定]で，[SSLの詳細設定の変更]をクリックします。
3. ［SSLの詳細設定の変更]ダ电子邮箱アログボックスで，[ハ@ @ブリッド@ @ fipsモ@ @ド]を選択します。

制限事項：

1. 再ネゴシエ，ションはサポ，トされていません。

2. SDX 14000プラットフォ，ムのSSL参数コマンドは，正しいセカンダリカ，ドの使用率を表示しません。常に0.00%の使用率が表示されます。

stat ssl ssl Summary # ssl卡当前1 # ssl卡UP 1 #二级ssl卡当前4 #二级ssl卡UP 4 ssl引擎状态1 ssl会话(Rate) 963二级卡使用率(%)0.00