MPX 9700/10500/12500/15500 FIPSアプライアンス
重要MPX 9700/10500/12500/15500 FIPSプラットフォームは終焉を迎えている。
米国国立標準技術研究所が発行する連邦情報処理規格(FIPS)はセキュリティシステムで使用される暗号化モジュールのセキュリティ要件を規定しています。Citrix ADC FIPSアプライアンスは,この規格の第2バージョンであるFIPS 140 - 2に準拠しています。
注:これ以降,FIPSへの参照はすべてFIPS 140 - 2を意味しています。
FIPSアプライアンスには,改ざん防止(改ざん防止)暗号化モジュールと,MPX 9700/10500/12500/15500 FIPSアプライアンスのキャビウムcn1620 - nfbe3 - 2.0 gが搭載されており,FIPS 140 - 2レベル2仕様に準拠するように設計されています。重要なセキュリティパラメータは(CSP),主にサーバーの秘密キーであり,暗号化モジュール(HSM)とも呼ばれます。暗号化モジュール(HSM)内に安全に保存され,生成されます。CSPは,歌舞青春の境界外でアクセスされることはありません。スーパーユーザーのみが,HSM内に格納されているキーに対して操作を実行できます。
次の表は,標準のCitrix ADCアプライアンスとCitrix ADC FIPSアプライアンスの違いをまとめたものです。
| 設定 | Citrix ADCアプライアンス | Citrix ADC FIPSアプライアンス |
|---|---|---|
| キーストレージ | ハードディスク上 | FIPSカードで |
| 暗号のサポート | すべての暗号 | FIPS承認された暗号 |
| キーへのアクセス | ハードディスクから | アクセス不可 |
FIPSアプライアンスの設定には,汎用設定プロセスの完了直後にHSMの設定が含まれます。次に,FIPSキーを作成またはインポートします。FIPSキーを作成したら,バックアップ用にエクスポートする必要があります。FIPSキーを別のアプライアンスにインポートできるように,FIPSキーをエクスポートする必要がある場合もあります。たとえば,高可用性セットアップでFIPSアプライアンスを構成するには,標準の高可用性セットアップを完了した直後に,プライマリノードからセカンダリノードにFIPSキーを転送する必要があります。
FIPSカードのファームウェアバージョンをバージョン4.6.0から4.6.1にアップグレードできます。ロックされているHSMをリセットして,不正なログオンを防ぐこともできます。Citrix ADC FIPSアプライアンスでは、FIPS承認暗号のみがサポートされています。
HSMの構成
Citrix ADC FIPSアプライアンスのHSMを構成する前に,ハードウェアの初期構成を完了する必要があります。MPXアプライアンスの詳細については,初期設定を参照してください。对有关アプライアンスの詳細については,ここをクリックしてください。
Citrix ADC FIPSアプライアンスのHSMを設定すると,HSM上の既存のデータがすべて消去されます。HSMを構成するには,スーパーユーザーとしてアプライアンスにログオンする必要があります。HSMには,セキュリティ担当者(所以)パスワードとユーザーパスワードのデフォルト値があらかじめ設定されています。このパスワードは,歌舞青春の設定やロックされたHSMのリセットに使用します。パスワードの最大長は14文字の英数字です。記号は使用できません。
重要:设置ssl fipsコマンドを実行しないでください。最初にFIPSカードをリセットし,MPX FIPSアプライアンスを再起動する必要があります。
FIPSアプライアンスはデフォルトのパスワード値で使用できますが,使用する前に変更する必要があります。HSMを構成できるのは,スーパーユーザーとしてアプライアンスにログオンし,所以および用户パスワードを指定した場合だけです。
重要:セキュリティ上の制約により,アプライアンスは所以パスワードを取得するための手段を提供しません。パスワードのコピーを安全に保管してください。HSMを再初期化する必要がある場合は,このパスワードを古い所以パスワードとして指定する必要があります。
HSMを初期化する前に,ソフトウェアの最新ビルドにアップグレードできます。最新のビルドにアップグレードするには,システムソフトウェアのアップグレードまたはダウングレードを参照してください。
アップグレード後,アプライアンスで/ nsconfig fipsディレクトリが正常に作成されたことを確認します。
MPXでHSMを構成する9700/10500/12500/15500 CLIを使用したFIPSプラットフォーム
スーパーユーザーとしてアプライアンスにログオンし,初期設定が完了したら,コマンドプロンプトで次のコマンドを入力してHSMを設定し,設定を確認します。
show ssl fips reset ssl fips reboot set ssl fips -initHSM Level-2 [-hsmLabel ] save ns config reboot show ssl fips 例:
show fips fips Card is not configured Done reset fips reboot Are you sure you want to restart NetScaler (Y/N)?[N]:y set ssl fips -initHSM Level-2 sopin12345 so12345 user123 -hsmLabel cavium该命令将擦除fips卡上的所有数据。执行该命令后,必须保存配置(saveconfig)。(Y/N) Y Done save ns config reboot你确定要重启NetScaler (Y/N)吗?[N]: y显示fips fips HSM信息:HSM标签:Citrix ADC fips初始化:fips 140 - 2所二级HSM编号:2.1 g1008-ic000021 HSM状态:2 HSM模型:氮化物XL CN1620-NFBE固件版本:1.1固件发布日期:Jun04, 2010 Max fips关键内存:3996免费fips关键内存:3994总SRAM内存:467348免费SRAM内存:注意:如果您将固件升级到2.2版本,固件的发布日期将被固件版本替换。>显示fips fips HSM信息:HSM标签:Citrix ADC fips初始化:fips 140 - 2所二级HSM编号:3.0 g1235-icm000264 HSM状态:2 HSM模型:氮化物XL CN1620-NFBE硬件版本:2.0 g固件版本:2.2固件构建:nfbe -弗兰克-威廉姆斯- 2.2 - 130009 Max fips关键内存:3996免费fips关键内存:3958总SRAM内存:467348 Free SRAM Memory: 50524 Crypto Cores: 3 Enabled Crypto Cores: 3 Done GUIを使用して,MPX 9700/10500/12500/15500 FIPSプラットフォーム上でHSMを構成する
流量管理> SSL > FIPSに移動します。
詳細ウィンドウの(FIPS情報]タブで,(FIPSのリセット]をクリックします。
ナビゲーションウィンドウで,(システム]をクリックします。
詳細ペインで重新启动をクリックします。
詳細ペインの(FIPS情報]タブで,(HSMの初期化)をクリックします。
(HSMの初期化]ダイアログボックスで,次のパラメータの値を指定します。
- セキュリティ担当者(所以)パスワード*——新しい所以パスワード
- 古い所以パスワード*——古い所以パスワード
- ユーザー・パスワード*:ユーザー・パスワード
- レベル:initHSM(現在レベル2に設定されており,変更できません)
- HSMラベル-hsmLabel
*必須パラメータ
(好的)をクリックします。
詳細ウィンドウで,[保存]をクリックします。
ナビゲーションウィンドウで,(システム]をクリックします。
詳細ペインで重新启动をクリックします。
(FIPS HSM情報]で設定したFIPS HSMについて表示される情報が正しいことを確認します。
FIPSキーの作成と転送
FIPSアプライアンスのHSMを設定したら,FIPSキーを作成する準備が整います。FIPSキーは,アプライアンスのHSMに作成されます。その後,FIPSキーをセキュリティで保護されたバックアップとしてアプライアンスの压缩闪存カードにエクスポートできます。キーをエクスポートすると,別のアプライアンスの/ flashにコピーし,そのアプライアンスのHSMにインポートすることによって,キーを転送することもできます。キーをエクスポートおよび転送する前に,2つのスタンドアロンノード間でSIMを有効します。高可用性セットアップで,いずれかのノードを新しいノードに置き換える場合は,次の手順を実行する必要があります。
- この新しいアプライアンスと高可用性セットアップの既存のアプライアンス間でSIMを有効にします。
- FIPSキーのエクスポート
FIPSキーを作成する代わりに,既存のFIPSキーをインポートしたり,外部キーをFIPSキーとしてインポートしたりできます。MPX 9700/10500/12500/15500 FIPSアプライアンスで,2048ビットの証明書とキーペアを追加する場合は,正しい証明書とキーペアがあることを確認します。
注:高可用性セットアップを計画している場合は,FIPSキーを作成する前に,高可用性設定でFIPSアプライアンスが構成されていることを確認してください。
FIPSキーの作成
FIPSキーを作成する前に,HSMが設定されていることを確認します。
キータイプ(RSAまたはECDSA)を指定し,ECDSAキーの曲線を指定します。
GUIを使用してFIPSキーを作成する
- 流量管理> SSL > FIPSに移動します。
- 詳細ウィンドウの(FIPSキー]タブで,[追加]をクリックします。
(FIPSキーを作成]ダイアログボックスで,次のパラメータの値を指定します。
- FIPSキー名* -fipsKeyName
- 係数*模量
- 指数*:指数
*必須パラメータ
- (创建)をクリックしてから,(关闭)をクリックします。
- (FIPSキー]タブで,作成したFIPSキーに対して表示された設定が正しいことを確認します。
CLIを使用してFIPSキーを作成する
コマンドプロンプトで,次のコマンドを入力してFIPSキーを作成し,設定を確認します。
create ssl fipsKey -modulus [-exponent (3 | F4)] show ssl fipsKey [] 例:
create fipskey Key-FIPS-1 -keytype RSA -modulus 2048 - expon3 show ssl fipskey Key-FIPS-1 FIPS Key Name: Key-FIPS-1 Key Type: RSA Modulus: 2048 Public expon2: F4 (Hex: 0x10001) FIPSキーのエクスポート
FIPS HSMで作成されたキーのバックアップを作成することをお勧めします。HSM内のキーが削除された場合は,同じキーを再度作成する方法がなく,それに関連付けられているすべての証明書が役に立たなくなります。
キーをバックアップとしてエクスポートするだけでなく,別のアプライアンスに転送するためにキーをエクスポートする必要がある場合があります。
次の手順では,アプライアンスの压缩闪存の/ nsconfig / sslフォルダーにFIPSキーをエクスポートし,強力な非対称キー暗号化方式を使用してエクスポートされたキーを保護する方法について説明します。
CLIを使用したFIPSキーのエクスポート
コマンドプロンプトで入力します。
export ssl fipsKey -key 例:
export fipskey Key-FIPS-1 -key Key-FIPS-1。关键< !——NeedCopy >GUIを使用してFIPSキーをエクスポートする
流量管理> SSL > FIPSに移動します。
詳細ウィンドウの(FIPSキー]タブで,[エクスポート]をクリックします。
(FIPSキーをファイルに書き出し]ダイアログボックスで,次のパラメータの値を指定します。
- FIPSキー名* -fipsKeyName
- ファイル名*键(デフォルト以外の場所にファイルを配置するには,完全なパスを指定するか,[参照]ボタンをクリックして場所に移動します)。
*必須パラメータ
[エクスポート]をクリックし,[閉じる]をクリックします。
既存のFIPSキーをインポートします
既存のFIPSキーをFIPSアプライアンスで使用するには,アプライアンスのハードディスクからHSMにFIPSキーを転送する必要があります。
注:FIPSキーをインポートする際のエラーを回避するには,インポートされたキーの名前が,作成時の元のキー名と同じであることを確認してください。
CLIを使用して,MPXアプライアンスでFIPSキーをインポートします
コマンドプロンプトで,次のコマンドを入力してFIPSキーをインポートし,設定を確認します。
- import ssl fipsKey -key -inform SIM -expone (F4 | 3) - show ssl fipsKey 例:
import fipskey Key-FIPS-2 -key Key-FIPS-2。key -inform SIM -exponent F4 show ssl fipskey key-FIPS-2 FIPS key Name: key-FIPS-2模数:2048 Public Exponent: F4 (Hex value 0x10001) GUIを使用してFIPSキーをインポートする
流量管理> SSL > FIPSに移動します。
詳細ペインのFIPS键タブで进口をクリックします。
(FIPSキーとしてインポート]ダイアログボックスで,FIPSキーファイルを選択し,次のパラメータの値を設定します。
- FIPSキー名*
- 密钥文件名字*——デフォルト以外の場所にファイルを配置するには,完全なパスを指定するか,[参照]をクリックして場所に移動します。
- 指数*
*必須パラメータ
[インポート]をクリックし,[閉じる]をクリックします。
(FIPSキー]タブで,インポートしたFIPSキーに対して表示される設定が正しいことを確認します。
外部キーをインポートする
Citrix ADCアプライアンスのHSM内に作成されたFIPSキーを転送できます。外部秘密鍵(標準のCitrix ADC, ApacheまたはIISで作成された鍵など)をCitrix ADC FIPSアプライアンスに転送することもできます。外部キーは,OpenSSLなどのツールを使用して,HSMの外部で作成されます。外部キーをHSMにインポートする前に,/ nsconfig / sslの下にあるアプライアンスのフラッシュドライブにコピーします。
MPXで9700/10500/12500/15500 FIPSアプライアンスの場合,外部キーのインポート中は进口ssl fipskeyコマンドの指数パラメーターは必要ありません。キーのインポート時に正しい公開指数が自動的に検出され,指数パラメータの値は無視されます。
Citrix ADC FIPSアプライアンスは,3またはF4以外の公開指数を持つ外部キーをサポートしていません。
MPX 9700/10500/12500/15500 FIPSアプライアンスでは,ラップキーは必要ありません。
外部の暗号化されたFIPSキーをMPX 9700/10500/12500/15500 FIPSアプライアンスに直接インポートすることはできません。キーをインポートするには,まずキーを復号化してからインポートする必要があります。キーを復号化するには,シェルプロンプトで次のように入力します。
openssl rsa -in > < DecryptedKey。> < !——NeedCopy > 注:RSAキーをFIPSキーとしてインポートする場合は,セキュリティ上の理由からRSAキーをアプライアンスから削除することをお勧めします。
CLIを使用して,外部キーをFIPSキーとしてMPX 9700/10500/12500/15500 FIPSアプライアンスにインポートします
- 外部キーをアプライアンスのフラッシュドライブにコピーします。
キーが。可以形式の場合は,まずPEM形式に変換する必要があります。コマンドプロンプトで入力します。
convert ssl pkcs12コマンドプロンプトで次のコマンドを入力して,外部キーをFIPSキーとしてインポートし,設定を確認します。
import ssl fipsKey-key -informPEM show ssl fipsKey
例:
转换SSL pkcs12 iis。-import -pkcs12File iis. pem -password 123456 -import -pkcs12File iis. pempfx import fipskey Key-FIPS-2 -key iis. pfxpem -inform pem show ssl fipskey Key-FIPS-2 FIPS Key Name: Key-FIPS-2模数:0 Public Exponent: F4 (Hex value 0x10001) GUIを使用して,外部キーをFIPSキーとしてMPX 9700/10500/12500/15500 FIPSアプライアンスにインポートします
キーが。可以形式の場合は,まずPEM形式に変換する必要があります。
- 流量管理> SSLに移動します。
- 詳細ウィンドウで[ツール]の[pkcs# 12のインポート]をクリックします。
- [PKCS12ファイルのインポート]ダイアログボックスで,次のパラメータを設定します。
- 出力ファイル名*
- PKCS12ファイル名* -。可以ファイル名を指定します。
- インポート・パスワード*
- エンコード形式*必須パラメータ
流量管理> SSL > FIPSに移動します。
詳細ペインのFIPS键タブで进口をクリックします。
(FIPSキーとしてインポート]ダイアログボックスで,PEMファイルを選択し,次のパラメータの値を設定します。
- FIPSキー名*
- 密钥文件名字*——デフォルト以外の場所にファイルを配置するには,完全なパスを指定するか,[参照]をクリックして場所に移動します。
*必須パラメータ
[インポート]をクリックし,[閉じる]をクリックします。
(FIPSキー]タブで,インポートしたFIPSキーに対して表示される設定が正しいことを確認します。