MPX 9700/10500/12500/15500 fips设备

重要提示！MPX 9700/10500/12500/15500 fips平台已经到达使用寿命的终点。

由美国国家标准和技术研究所发布的联邦信息处理标准(FIPS)规定了安全系统中使用的加密模块的安全要求。Citrix ADC FIPS设备符合该标准的第二个版本，FIPS 140-2。

注：从此以后，所有提到fips的内容都意味着fips -140-2。

FIPS设备配备了防篡改(防篡改)加密模块,并在MPX 9700/10500/12500/15500 FIPS设备上配备了一个Cavium cn1620 nfbe3 - 2.0 g,旨在符合FIPS 140 - 2级2规范的要求。关键安全参数(CSP)(主要是服务器的私钥)安全地存储和生成在加密模块(也称为硬件安全模块(HSM))中。CSP永远不会在HSM边界之外访问。只有超级用户才能对存储在HSM中的密钥执行操作。

下表总结了标准Citrix ADC和Citrix ADC FIPS设备之间的差异。

配置fips设备涉及在完成通用配置过程后立即配置hsm。然后，您可以创建或导入fips密钥。创建fips密钥后，必须将其导出以备份。您可能还需要导出 FIPS 密钥，以便将其导入到其他设备。例如，在高可用性设置中配置 FIPS 设备需要在完成标准高可用性设置后立即将 FIPS 密钥从主节点转移到辅助节点。

您可以将fips卡上的固件版本从4.6.0版升级到4.6.1。您还可以重置已锁定的HSM以防止未经授权的登录。Citrix ADC FIPS设备上仅支持经 FIPS 批准的密码。

HSM配置

必须先完成初始硬件配置，然后才能配置Citrix ADC FIPS设备的HSM。有关MPX设备的更多信息，请参阅初始配置。有关SDX设备的信息，请单击此处。

配置Citrix ADC FIPS设备的HSM会擦除HSM上的所有现有数据。要配置hsm，您必须以超级用户身份登录到设备。HSM已预配置为安全官员(所以)密码和用户密码的默认值,您可以使用它们配置HSM或重置锁定的歌舞青春。密码允许的最大长度为 14 个字母数字字符。不允许使用符号。

重要提示：仅在首先重置fips卡并重新启动MPX fips设备之后才能运行该设置SSL fips命令。

尽管fips设备可以与默认密码值一起使用，但在使用之前必须对其进行修改。仅当您以超级用户身份登录到设备并指定所以密码和用户密码时，才能配置hsm。

重要提示：由于安全限制，设备不提供检索，所以密码的方法。安全地存储密码副本。如果需要重新初始化hsm，则需要将此密码指定为旧的所以密码。

在初始化HSM之前，您可以升级到软件的最新版本。要升级到最新版本，请参阅升级或降级系统软件。

升级后，验证/ nsconfig fips目录是否已在设备上成功创建。

使用cli在MPX 9700/10500/12500/15500 fips平台上配置HSM

以超级用户身份登录设备并完成初始配置后，在命令提示符下键入以下命令来配置HSM并验证配置:

show ssl fips reset ssl fips reboot set ssl fips -initHSM Level-2    [-hsmLabel ] save ns config reboot show ssl fips 

示例：

show fips fips Card is not configured Done reset fips reboot Are you sure you want restart NetScaler (Y/N)?[N]:y set ssl fips -initHSM Level-2 sopin12345 so12345 user123 -hsmLabel cavium清除fips卡上的所有数据。执行该命令后，需要保存配置(saveconfig)。(Y/N) Y Done save ns config reboot Are you sure you want to restart NetScaler (Y/N)?[N]:y show fips fips HSM信息:HSM标签:Citrix ADC fips初始化:fips -140-2 Level-2 HSM序列号:2.1G1008-IC000021 HSM状态:2 HSM型号:NITROX XL CN1620-NFBE固件版本:1.1固件发布日期:2010年6月04日最大fips关键内存:3996空闲fips关键内存:3994总SRAM内存:467348空闲SRAM内存:62564总加密核:3启用加密核:1 Done注:如果将固件升级到2.2版本，则固件发布日期将被固件构建版本替换。>显示fips fips HSM信息:HSM标签:Citrix ADC fips初始化:fips 140 - 2所二级HSM编号:3.0 g1235-icm000264 HSM状态:2 HSM模型:氮化物XL CN1620-NFBE硬件版本:2.0 g固件版本:2.2固件构建:nfbe -弗兰克-威廉姆斯- 2.2 - 130009 Max fips关键内存:3996免费fips关键内存:3958总SRAM内存:467348免费SRAM内存:50524总加密芯:启用加密芯:3做< !——NeedCopy >

使用GUI在MPX 9700/10500/12500/15500 fips平台上配置HSM

1. 导航到流量管理> SSL > fips。

2. 在详细信息窗格的Fips信息选项卡上，单击重置fips。

3. 在导航窗格中，单击系统。

4. 在详细信息窗格中，单击重新启动。

5. 在详细信息窗格的fips信息选项卡上，单击初始化HSM。

6. 在“初始化hsm”对话框中，为以下参数指定值:

   • 保安人员(所以)密码* -新的所以密码
   • 旧所以密码* -旧所以密码
   • 用户密码* -用户密码
   • 级别- initHSM(当前设置为级别2，无法更改)
   • HSM标签- hsmLabel

   *必需的参数

7. 单击好吧（确定）。

8. 在详细信息窗格中，单击保存。

9. 在导航窗格中，单击系统。

10. 在详细信息窗格中，单击重新启动。

11. 在fips HSM信息下，验证显示的信息对于您配置的fips HSM是否正确。

创建和传输fips密钥

配置fips设备的HSM后，您可以创建fips密钥。Fips密钥是在设备的HSM中创建的。然后，您可以将FIPS密钥导出到设备的CompactFlash卡作为安全备份。通过导出密钥，您还可以通过将其复制到另一个设备的/闪存，然后将其导入该设备的HSM来传输密钥。在导出和传输密钥之前，在两个独立节点之间启用sim卡。在高可用性设置中，如果其中一个节点被新节点替换，则必须执行以下步骤：

1. 在此新设备和高可用性设置的现有设备之间启用sim卡。
2. 导出或导入fips密钥。

您可以导入现有的fips密钥或导入外部密钥作为fips密钥，而不是创建fips密钥。如果要在MPX 9700/10500/12500/15500 FIPS设备上添加2048位的证书密钥对,请确保您具有正确的证书和密钥对。

注意：如果您计划高可用性设置，请确保在创建fips密钥之前在高可用性设置中配置fips设备。

创建fips密钥

创建fips密钥前，确保已配置hsm。

指定密钥类型(rsa或ecdsa)并指定ecdsa密钥的曲线。

通过使用GUI创建fips密钥

1. 导航到流量管理> SSL > fips。
2. 在详细信息窗格的fips密钥选项卡上，单击添加。

3. 在"创建fips密钥"对话框中，为以下参数指定值:

   • FIPS密钥名称* - fipsKeyName
   • 模量* -模量
   • 指数* -指数

   *必需的参数

4. 单击创建（创建），然后单击关闭（关闭）。
5. 在fips密钥选项卡上，验证为您创建的fips密钥显示的设置是否正确。

使用cli创建fips密钥

在命令提示符下，键入以下命令以创建fips密钥并验证设置:

create ssl fipsKey  -modulus  [-exponent (3 | F4)] show ssl fipsKey [] 

示例：

create fipskey Key-FIPS-1 -keytype RSA -modulus 2048 - index 3 show ssl fipskey Key-FIPS-1 FIPS Key Name: Key-FIPS-1 Key Type: RSA Modulus: 2048 Public index: F4 (Hex: 0x10001) 

导出fips密钥

Citrix建议您创建在FIPS HSM中创建的任何密钥的备份。如果HSM中的密钥被删除，则无法再次创建相同的密钥，并且所有与其关联的证书都将无用。

除了将密钥导出为备份之外，您可能需要导出密钥才能传输到另一台设备。

以下过程提供了有关将FIPS密钥导出到设备CompactFlash上的/ nsconfig / ssl文件夹以及使用强非对称密钥加密方法保护导出的密钥的说明。

使用cli导出fips密钥

在命令提示符下，键入：

export ssl fipsKey  -key  

示例：

export fipskey Key-FIPS-1 -key Key-FIPS-1。关键< !——NeedCopy >

使用GUI导出fips密钥

1. 导航到流量管理> SSL > fips。

2. 在详细信息窗格的fips密钥选项卡上，单击导出。

3. 在"将fips键导出到文件"对话框中，为以下参数指定值:

   • FIPS密钥名称* - fipsKeyName
   • 文件名*键(要将文件放在默认位置以外的位置,您可以指定完整路径或单击“浏览”按钮并导航到某个位置)。

   *必需的参数

4. 单击”导出，然后单击"关闭”。

导入现有fips密钥

要将现有FIPS密钥与FIPS设备结合使用,您需要将FIPS密钥从设备的硬盘传输到其歌舞青春。

注意：要避免导入fips密钥时出现错误，请确保导入的密钥的名称与创建时的原始密钥名称相同。

通过使用cli在MPX 9700/10500/12500/15500 fips设备上导入fips密钥

在命令提示符下，键入以下命令以导入fips密钥并验证设置:

- import ssl fipsKey  -key  -inform SIM -exponent (F4 | 3) - show ssl fipsKey  

示例：

import fipskey Key-FIPS-2 -key Key-FIPS-2。key -inform SIM - index F4 show ssl fipskey key-FIPS-2 FIPS密钥名称:key-FIPS-2模量:2048公共指数:F4(十六进制值0x10001) 

通过使用GUI导入fips密钥

1. 导航到流量管理> SSL > fips。

2. 在详细信息窗格的fips密钥选项卡上，单击导入。

3. 在"导入为fips密钥"对话框中，选择fips密钥文件并为以下参数设置值:

   • Fips密钥名称*
   • 密钥文件名称*——要将文件放在默认位置以外的位置,您可以指定完整路径或单击“浏览”并导航到某个位置。
   • 指数*

   *必需的参数

4. 单击进口（导入），然后单击关闭（关闭）。

5. 在fips密钥选项卡上，验证为导入的fips密钥显示的设置是否正确。

导入外部密钥

您可以传输在Citrix ADC设备的HSM中创建的FIPS密钥。您还可以将外部私钥(例如在标准Citrix ADC, Apache或IIS上创建的密钥)转移到Citrix ADC FIPS设备。外部密钥是通过使用OpenSSL等工具在HSM之外创建的。在将外部密钥导入HSM之前，请将其复制到设备的闪存驱动器中/ nsconfig / ssl。

在MPX 9700/10500/12500/15500 fips设备上，导入外部密钥时不需要导入SSL fipskey命令中的-exponent参数。导入密钥时会自动检测到正确的公共指数，并忽略-指数参数的值。

Citrix ADC FIPS设备不支持具有3或F4以外的公共指数的外部密钥。

您不需要在MPX 9700/10500/12500/15500 fips设备上的包装密钥。

您不能将外部加密的FIPS密钥直接导入到MPX 9700/10500/12500/15500 FIPS设备。要导入密钥，您需要先解密密钥，然后导入密钥。要解密密钥，请在shell提示符处键入:

openssl rsa -in  >  < !——NeedCopy >

注意：如果将RSA密钥导入为FIPS密钥,Citrix建议您从设备中删除RSA密钥,出于安全考虑。

通过使用CLI将外部密钥作为FIPS密钥导入到MPX 9700/10500/12500/15500 FIPS设备

1. 将外部密钥复制到设备的闪存驱动器。

2. 如果密钥是.pfx格式，则必须先将其转换为PEM格式。在命令提示符下，键入：

   convert ssl pkcs12 <输出文件> -import -pkcs12File <输入。pfx文件> -password <密码> 

3. 在命令提示符下，键入以下命令以将外部密钥导入为fips密钥并验证设置:

   import ssl fipsKey  -key  -informPEM show ssl fipsKey  

示例：

转换SSL pkcs12 iis。iis. pem -password 123456 -import -pkcs12Fileii . pfx import fipskey Key-FIPS-2 -keypem -inform pem show ssl fipskey Key-FIPS-2 FIPS密钥名称:Key-FIPS-2模量:0公共指数:F4(十六进制值0x10001) 

通过使用GUI将外部密钥作为FIPS密钥导入到MPX 9700/10500/12500/15500 FIPS设备

1. 如果密钥是.pfx格式，则必须先将其转换为PEM格式。

   1. 导航到流量管理> SSL。
   2. 在详细信息窗格的工具下，单击导入PKCS #12。
   3. 在"导入pkcs12文件"对话框中，设置以下参数:
      • 输出文件名*
      • PKCS12文件名* -指定.pfx文件名。
      • 导入密码*
      • 编码格式 * 必填参数

2. 导航到流量管理> SSL > fips。

3. 在详细信息窗格的fips密钥选项卡上，单击导入。

4. 在"导入为fips键"对话框中，选择pem文件，并为以下参数设置值:

   • Fips密钥名称*
   • 密钥文件名称*——要将文件放在默认位置以外的位置,您可以指定完整路径或单击“浏览”并导航到某个位置。

   *必需的参数

5. 单击进口（导入），然后单击关闭（关闭）。

6. 在fips密钥选项卡上，验证为导入的fips密钥显示的设置是否正确。