ADC委托統合を構成する
次のフローチャートは,委托HSMをCitrix ADCで使用するために実行する必要があるタスクを示しています。
上記のフローチャートに示すように、次のタスクを実行します。
- HSMでリモート設定プッシュを有効にします。
- 委托HSMを使用するようにADCを設定します。
- HSMに NSIPアドレスを追加します。
- RFSの 模数转换器へのアクセス許可を設定します。
- 起動時に
Hardserverの自動開始を設定します。 - 模数转换器に HSMを登録します。
- 模数转换器にRFSの詳細を追加します。
- ADCをRFSに同期させます。
- 委托HSMがADCに正常に登録されていることを確認します。
- (任意)HSM RSAキーを作成します。
- Citrix ADCでエンティティを構成します。
- HSMキーを追加します。
- HSMキーを使用して証明書とキーのペアを追加します。
- 仮想サーバーを追加します。
- サーバーオブジェクトを追加します。
- サービスを追加します。
- サービスを仮想サーバーにバインドします。
- 証明書とキーのペアを仮想サーバにバインドします。
- 設定を確認します。
委託HSMの設定
委托HSM上のRFSのIPアドレスを指定して,RFSがプッシュする設定を受け入れるようにします。委托HSMのnShield连接前面パネルを使用して,次の手順を実行します。
委托HSM上のリモートコンピュータのIPアドレスを指定します
- [システム構成]>[設定ファイルオプション]>[自動プッシュを許可]に移動します。
- (上)を選択し,設定を受け入れるコンピュータ(RFS)のIPアドレスを指定します。
HSMでのリモート設定プッシュを有効にする
委托HSM上のRFSのIPアドレスを指定して,RFSがプッシュする設定を受け入れるようにします。委托HSMのnShield连接前面パネルを使用して,次の手順を実行します。
委托HSM上のリモートコンピュータのIPアドレスを指定します
- [システム構成]>[設定ファイルオプション]>[自動プッシュを許可]に移動します。
- (上)を選択し,設定を受け入れるコンピュータ(RFS)のIPアドレスを指定します。
委托HSMを使用するようにADCを構成する
このドキュメントで使用されているサンプル値:
NSIPアドレス= 10.217.2.43
HSM IPアドレスを委託 = 10.217.2.112
RFS IPアドレス=10.217.2.6
HSMにNSIPアドレスを追加します
通常は,nShield连接フロントパネルを使用して,クライアントをHSMに追加します。詳細については”nShield连接クイックスタートガイド”を参照してください。
または、RFSを使用して、模数转换器をクライアントとして HSMに追加します。模数转换器を追加するには、RFSのHSM構成にNSIPアドレスを追加してから、構成をHSMにプッシュする必要があります。構成をプッシュする前に、HSMの電子シリアル番号(ESN)を知っている必要があります。
HSMのESNを取得するには,RFSで次のコマンドを実行します。
root@ns# /opt/nfast/bin/anonkneti <委托HSM IP地址> 例:
root@ns# /opt/nfast/bin/anonkneti 10.217.2.112 BD17-C807-58D9 5e30a698f7bab3b2068ca90a9488dc4e6c78d822 ESN番号はBD17-C807-58D9です。
ESN番号を確認したら,viなどのエディタを使用してRFSのHSM設定ファイルを編集します。
vi / opt / nfast / kmdata / hsm-BD17-C807-58D9 / config / config < !——NeedCopy >房协客户セクションに、次のエントリを追加します。
#在会话密钥重新协商之前,使用会话密钥加密的数据字节数,或0表示无限。(默认= \ * 1024 \ 1024 * 8 b = 8 mb)。# datelimit =INT addr=10.217.2.43 clientperm=unpriv keyhash=000000000000000000000000000000000000 esn= timelimit=86400 datelimit =8388608 ----- 注:1.つ以上のハイフンを区切り文字として含めて、同じセクションに複数のエントリを追加します。
設定をHSMにプッシュするには,RFSで次のコマンドを実行します。
/opt/nfast/bin/cfg-pushnethsm——address=<委托HSM的IP地址>——force /opt/nfast/kmdata/ HSM - bd17 - c807 - 58d9 /config/config 例:
/opt/nfast/bin/cfg pushnethsm--address=10.217.2.112--force/opt/nfast/kmdata/hsm-BD17-C807-58D9/config/config<!--NeedCopy-->RFSのADCのアクセス許可を設定します
RFSで 模数转换器のアクセス許可を設定するには、RFSで次のコマンドを実行します。
/opt/nfast/bin/rfs-setup——force -g——write-noauth 例:
(root@localhost本)# / opt / nfast / bin / rfs-setup -力- g - write-noauth 10.217.2.43添加只读remote_file_system条目确保目录/ opt / nfast / kmdata /本地存在添加新的可写remote_file_system条目确保目录/ opt / nfast / kmdata /地方/ sync-store存在保存新配置文件和配置hardserver做< !——NeedCopy >9004年ADCがポートを使用してRFSと委托HSMの両方に到達できることを確認します。
起動時に硬服务器の自動開始を構成する
ファイルを作成し,アプライアンスを再起動します。これで,アプライアンスを再起動するたびに,このファイルが見つかると,Hardserverが自動的に開始されます。
シェルプロンプトで、次のように入力します。
touch/var/opt/nfast/bin/thales\u hsm\u已注册<<--需要复制-->コマンドプロンプトで入力します。
重新启动< !——NeedCopy >ADCにHSMを登録する
ディレクトリを /var/opt/nfast/binに変更します。
HSMの詳細を 模数转换器構成に追加するには、模数转换器で次のコマンドを実行します。
nethsmenroll——force < thales_nshield d_connect_ip_address > $(anonkneti < thales_nshield d_connect_ip_address >)
例:
root@ns#./nethsmenroll——强制10.217.2.112$(anonkneti 10.217.2.112)可以配置硬件服务器的nethsm导入<--需要复制-->この手順では,/ var / opt / nfast / kmdata / config / configファイルのnethsm_importsセクションにある行# ntoken_esn = ESNの後に次のエントリを追加します。
…local_module=0 remote_ip=10.217.2.112 remote_port=9004 remote_esn=BD17-C807-58D9 keyhash=5e30a698f7bab3b2068ca90a9488dc4e6c78d822 timelimit=86400 datelimit =8388608 privileged=0 privileged_use_high_port=0 ntoken_esn= ディレクトリを/var/opt/nfast/binに変更して模数转换器で次のコマンドを実行します。
触摸“thales_hsm_is_enrolled”< !——NeedCopy >注:ADCに登録されているHSMを削除するには,次のように入力します。
./nethsmenroll——remove ADCにRFSの詳細を追加する
RFSの詳細を追加するには,ディレクトリを/ var / opt / nfast / bin /に変更します。次に,次のコマンドを実行します。
./rfs-sync——no-authenticate——setup 例:
./rfs同步--无身份验证--设置10.217.2.6无当前rfs同步配置。配置成功写入;新配置详细信息:在10.217.2.6:9004使用RFS:未验证。<--需要复制-->この手順では、/var/opt/nfast/kmdata/コンフィグ/コンフィグ/コンフィグファイルのrfs_sync_clientセクションの # 本地_esn=esn行の後に次のエントリを追加します。
...... remote_ip=10.217.2.6 remote_port=9004 use_kneti=no local_esn= 注:模数转换器に登録されている RFSを削除するには、次のように入力します。
。/ rfs_sync删除< !——NeedCopy >ADCをRFSに同期させる
すべてのファイルを同期するには,ディレクトリを次のように変更します。/var/opt/nfast/bin次に,ADCで次のコマンドを実行します。
。/ rfs-sync——更新< !——NeedCopy >このコマンドは、RFSの /opt/nfast/kmdata/localディレクトリからすべてのワールドファイル、モジュールファイル、キーファイルをフェッチし、模数转换器の /var/opt/nfast/kmdata/localディレクトリに格納します。ワールドファイル、模块XXXX XXXX XXXX XXXXファイル(XXXX_XXXX_XXXX)は登録されているHSMの(ESN),および必要なRSAキーと証明書ファイルのみを手動でコピーすることをお勧めします。です。
委托HSMがADCに正常に登録されていることを確認します
ADCをRFSに同期したら,次の操作を行います。
- ローカル
Hardserverが稼働していることを確認します。(サーバーの実行を委託)。 - 構成されたHSMの状態を取得し,n_modules(モジュール数)フィールドと公里情報フィールドの値がゼロ以外であることを確認します。
- HSMが正しく登録され,ADCが使用できること(0 x2可用状態)を確認します。
sigtestを使用した負荷テストは正しく実行されます。
ディレクトリを/ var / opt / nfast / binに変更し,シェルプロンプトで次のコマンドを実行します。
root@ns# ./chkserv root@ns# ./nfkminfo root@ns# ./sigtest 例については,付録を参照してください。
HSM RSAキーの作成
HSMキーとしてサポートされているのはRSAキーのみです。
注:RFSの/ opt / nfast / kmdata /当地フォルダに既にキーが存在する場合は,この手順をスキップしてください。
RSAキー、自己署名証明書、および証明書署名要求 (企业社会责任)を作成します。企业社会责任を認証局に送信して、サーバ証明書を取得します。
次の例では,次のファイルが作成されます。
- RSAキーを埋め込む:key_embed_2ed5428aaeae1e159bdbd63f25292c7113ec2c78
- 自己署名証明書:example_selfcert
- 証明書署名リクエスト:example_req
注:generatekeyコマンドは,厳密なFIPS 140 - 2 3级安全世界でサポートされています。キーやOCSの作成など,多くの操作を制御するには,管理者カードセット(ACS)またはオペレータカードセット(OCS)が必要です。このgeneratekeyコマンドを実行すると、ACSカードまたは 业主立案法团カードを挿入するように求められます。厳格なFIPS 140-2三级安全世界の詳細については、安菲尔德连接ユーザーガイドを参照してください。
次の例では、二级安全世界を使用します。この例では、コマンドは太字です。
例:
[root@localhost bin]# ./generatekey embed size:密钥大小?(bits, minimum 1024)[1024] > 2048可选:pubexp: RSA key Public exponent (hex)?[] > embedsavefile: Filename to write key to?[] > example plainname: Key name?[] > example x509country:国家代码?[] > US x509province: State or province?[] > CA x509locality: City or locality?[] > Santa Clara x509org: organization ?[] > Citrix x509orgunit:组织单位?[] > NS x509dnscommon:域名? [] > m.giftsix.com x509email: Email address? [] > example@citrix.com nvram: Blob in NVRAM (needs ACS)? (yes/no) [no] > digest: Digest to sign cert req with? (md5, sha1, sha256, sha384, sha512) [default sha1] > sha512 key generation parameters: operation Operation to perform generate application Application embed verify Verify security of key yes type Key type RSA size Key size 2048 pubexp Public exponent for RSA key (hex) embedsavefile Filename to write key to example plainname Key name example x509country Country code US x509province State or province CA x509locality City or locality Santa Clara x509org Organisation Citrix x509orgunit Organisation unit NS x509dnscommon Domain name m.giftsix.com x509email Email address example@citrix.com nvram Blob in NVRAM (needs ACS) no digest Digest to sign cert req with sha512 Key successfully generated. Path to key: /opt/nfast/kmdata/local/key_embed_2ed5428aaeae1e159bdbd63f25292c7113ec2c78 You have new mail in /var/spool/mail/root 結果:
CSR(例_req),自己署名証明書(例_selfcert),および埋め込み形式のアプリケーションキートークンファイル(/ opt / nfast / kmdata /ローカル/キー埋め込み_2ed5428ae159bdbd63f25292c7113ec2c78)を作成しました。
ADCは単純な形式のキーのみをサポートしているため,埋め込みキーを単純なキーに変換する必要があります。
埋め込みキーを単純なキーに変換するには、RFSで次のコマンドを実行します。
[root@localhost bin]# ./generatekey -r simple from-application: Source application?[embed] > embed from-ident:源密钥标识符?(c6410ca00af7e394157518cb53b2db46ff18ce29, 2ed5428aaeae1e159bdbd63f25292c7113ec2c78) [default c6410ca00af7e394157518cb53b2db46ff18ce29] > 2ed5428aaeae1e159bdbd63f25292c7113ec2c78 ident:密钥标识?[] > examplersa2048key plainname:密钥名称?[] > examplersa2048key密钥生成参数:operation retarget应用操作application simple verify验证密钥的安全性yes from-application源应用embed from-ident源密钥标识符2ed5428aaeae1e159bdbd63f25292c7113ec2c78 ident密钥标识符examplersa2048key plainname密钥名称examplersa2048key成功重定向密钥。key路径:/opt/nfast/kmdata/local/key_simple_examplersa2048key 重要:
ソースキー識別子の入力を求められたら,埋め込みキーとして”2ED5428AAE159BD63F25292C7113EC2C78“と入力します。
結果:
プレフィックスkey_simpleを持つキー(たとえば,key_simple_examplersa2048key)が作成されます。
注:examplersa2048keyはキー識別子(ID)であり,ADCではHSMキー名と呼ばれます。キー識別子は一意です。すべての単純なファイルには,プレフィックスkey_simpleがあります。
ADCでエンティティを構成する
ADCがトラフィックを処理する前に,次のことを行う必要があります。
- 機能を有効にします。
- サブネットIP(剪)アドレスを追加します。
- ADCにHSMキーを追加します。
- HSMキーを使用して証明書とキーのペアを追加します。
- 仮想サーバーを追加します。
- サーバーオブジェクトを追加します。
- サービスを追加します。
- サービスを仮想サーバーにバインドします。
- 証明書とキーのペアを仮想サーバにバインドします。
- 設定を確認します。
模数转换器の機能を有効にする
機能を有効にする前に,ADCにライセンスが存在している必要があります。
CLIを使用した機能の有効化
コマンドプロンプトで、次のコマンドを実行します。
启用功能lb启用功能ssl<!--NeedCopy-->GUIを使用した機能の有効化
系统>设置に移動して模式和特性グループで配置基本特征を選択し、SSL卸载を選択します。
サブネットIPアドレスの追加
サブネットIPアドレスの詳細については,”サブネットIPアドレスの構成“を参照してください。
CLIを使用して剪アドレスを追加し,設定を確認します
コマンドプロンプトで、次のコマンドを実行します。
add ns ip -type SNIP show ns ip 例:
添加ns ip 192.168.17.253 255.255.248.0-类型SNIP Done显示ns ip ip地址流量域类型模式Arp Icmp Vserver状态-------------------------1)192.168.17.251 0 NetScaler ip活动启用NA启用2)192.168.17.252 0 VIP活动启用3)192.168.17.253 0 SNIP活动已启用NA已启用完成<--需要复制-->GUIを使用して剪アドレスを追加し,構成を確認します
[システム]>[ネットワーク)> (IP)に移動し、IPアドレスを追加して,[IPタイプ]を[サブネットIP)として選択します。
HSMキーと証明書をADCにコピーします
セキュアなファイル転送ユーティリティを使用して,キーを(key_simple_examplersa2048key)/var/opt/nfast/kmdata/localローカルフォルダーにコピーし、証明書 (示例_selfcert)を 模数转换器の/nsconfig/sslフォルダーに安全にコピーします。
ADCにキーを追加します
すべてのキーは,キー単純な接頭辞を持っています。ADCにキーを追加する場合は,HSMキー名として鉴别を使用します。たとえば,追加したキーがkey_simple_XXXXの場合,HSMキー名はXXXXになります。
重要:
- HSMキー名は、埋め込みキーを単純なキー形式に変換したときに指定した 识别と同じである必要があります。
- キーは,のADC
/var/opt/nfast/kmdata/local/ディレクトリに存在する必要があります。
CLIを使用した HSMキーの追加
シェルプロンプトで、次のコマンドを実行します。
add ssl hsmKey -key 例:
add ssl hsmKey examplersa2048key -key key_simple_examplersa2048key Done 桂を使用して HSMキーを追加する
[トラフィック管理] > [SSL]>[HSM] に移動し、HSMキーを追加します。
ADCに証明書とキーのペアを追加する
証明書とキーのペアについては,”証明書とキーのペアの追加または更新“を参照してください。
CLIを使用した証明書とキーのペアの追加
コマンドプロンプトで、次のコマンドを実行します。
add ssl certKey -cert -hsmKey 例:
添加ssl证书密钥22-证书示例\u selfcert-hsmKey示例2048密钥完成<<--需要复制-->桂を使用した証明書とキーのペアの追加
流量管理> SSL >证书証明書キーペアを追加します。
仮想サーバーの追加
仮想サーバーの詳細については,”SSL仮想サーバー構成“を参照してください。
CLIを使用したSSLベースの仮想サーバーの構成
コマンドプロンプトで、次のコマンドを実行します。
add lb vserver 例:
add lb vserver v1 SSL 192.168.17.252 443 GUIを使用してSSLベースの仮想サーバーを構成する
[トラフィック管理]>[負荷分散]>[仮想サーバー]に移動し,仮想サーバーを作成し,プロトコルをSSLとして指定します。
サーバーオブジェクトの追加
模数转换器にサーバーオブジェクトを追加する前に、バックエンドサーバーが作成されていることを確認してください。次の例では、Linuxシステムで組み込みの Python HTTPサーバーモジュールを使用しています。
例:
%python -m SimpleHTTPServer 80 CLIを使用したサーバーオブジェクトの追加
コマンドプロンプトで、次のコマンドを実行します。
add server 例:
添加服务器s1 192.168.17.246 GUIを使用したサーバーオブジェクトの追加
流量管理>负载平衡>服务器に移動してサーバーを追加します。
サービスを追加する
詳細については、「サービスの設定“を参照してください。
CLIを使用したサービスの設定
コマンドプロンプトで、次のコマンドを実行します。
add service 例:
添加服务sr1 s1 HTTP 80 桂を使用したサービスの構成
[トラフィック管理]>[負荷分散]>[サービス] に移動し、サービスを作成します。
サービスを仮想サーバーにバインドする
詳細については、「SSL仮想サーバーへのサービスのバインド“を参照してください。
CLIを使用してサービスを仮想サーバーにバインドします
コマンドプロンプトで、次のコマンドを実行します。
绑定lb vserver 例:
绑定lb vserver v1 sr1<--需要复制-->桂を使用してサービスを仮想サーバーにバインドする
- 流量管理>负载均衡>虚拟服务器に移動します。
- 仮想サーバを開き,[服务]ペインをクリックして,サービスを仮想サーバにバインドします。
証明書とキーのペアを 模数转换器の仮想サーバーにバインドします
詳細については,SSL仮想サーバーに証明書とキーのペアをバインドするを参照してください。
CLIを使用して証明書とキーのペアを仮想サーバーにバインドする
コマンドプロンプトで、次のコマンドを実行します。
绑定ssl vserver-certkeyName<!--NeedCopy--> 例:
绑定ssl vserver v1-certkeyName key22警告:当前证书将替换以前的绑定<--需要复制-->GUIを使用して証明書とキーのペアを仮想サーバーにバインドする
- 流量管理>负载均衡>虚拟服务器に移動します。
- SSL仮想サーバーを開き,(詳細設定]で [SSL証明書] をクリックします。
- サーバー証明書を仮想サーバーにバインドします。
構成を確認します
CLIを使用して設定を表示するには,次の手順を実行します。
コマンドプロンプトで、次のコマンドを実行します。
show lb vserver show ssl vserver 例:
显示磅vserver v1 v1 (192.168.17.252:443) - SSL类型:地址状态:去年状态改变是在2014年10月29日03:11:11结婚以来最后的状态变化:0天,00:01:25.220有效状态:客户端闲置超时:180秒刷新状态:启用禁用主要vserver:禁用演示applow日志:没有启用。绑定的服务:1(总)1(主动)配置方法:LEASTCONNECTION当前方法:循环赛,原因:绑定服务的状态改变模式:IP持久性:没有Vserver IP和端口插入:从推动:残疾人推Vserver:推动多客户:没有把标签规则:没有L2Conn:从跳过持久性:没有IcmpResponse:PASSIVE RHIstate: PASSIVE New Service Startup Request Rate: 0 PER_SECOND, Increment Interval: 0 Mac mode Retain Vlan: DISABLED DBS_LB: DISABLED Process Local: DISABLED Traffic Domain: 0 1) sr1 (192.168.17.246: 80) - HTTP State: UP Weight: 1 Done sh / opt / Client . sh ssl vserver v1高级ssl配置vserver v1: DH: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0 Session Reuse: ENABLED Timeout: 120 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED ClearText Port: 0 Client Auth: DISABLED ssl Redirect: DISABLED Non FIPS Cipher: DISABLED SNI: DISABLED SSLv2: DISABLED SSLv3:DISABLED TLSv1.0: ENABLED TLSv1.1: DISABLED TLSv1.2: DISABLED Push Encryption Trigger: Always Send Close-Notify: YES ECC Curve: P_256, P_384, P_224, P_521 1) CertKey Name: key22 Server Certificate 1) Cipher Name: DEFAULT Description:预定义Cipher Alias Done GUIを使用して設定を表示するには,次の手順を実行します。
流量管理>负载均衡>虚拟服务器に移動してSSL仮想サーバーをダブルクリックして開いて,構成を表示します。