产品文档
Citrix ADC
当前版本 13.0 12.1 11.1
查看PDF

将fips卡上的固件更新至版本2.2

2021年8月24日
贡献者:
C

重要提示!MPX 9700/10500/12500/15500 fips平台已经到达使用寿命的终点。

Fips固件2.2版支持TLS协议版本1.1和1.2。在命令行中,您可以将Citrix ADC MPX 9700/10500/12500/15500 FIPS设备的FIPS卡的固件版本从版本1.1更新到版2.2本。

要在高可用性(HA)对中成功传播SIM密钥,每个设备上的Cavium固件版本必须相同。首先在辅助设备上执行固件更新。如果首先在主设备上执行,长时间运行的更新过程将导致故障转移。

限制

  • 仅在SSL虚拟服务器和前端SSL服务上支持安全重新协商。
  • 使用在固件版本1.1上创建并更新到固件版本2.2的密钥创建证书签名请求失败。
  • 您无法在固件版本2.2上创建1024位rsa密钥。但是,如果您在固件1.1版本上导入或创建了1024位FIPS密钥,然后更新到固件版2.2本,则可以在固件版2.2本上使用该FIPS密钥。
  • 仅支持2048位rsa密钥。

  • 不支持 4096 位客户端证书(如果在后端服务器上启用了客户端身份验证)。

  • 不支持使用SSLv3协议进行安全重新协商。
  • 升级固件后,默认情况下,在现有虚拟服务器,内部,前端和后端服务上禁用TLSv1.1和TLSv1.2。要使用TLS 1.1/1.2,您必须在升级后在SSL实体上明确启用这些协议。
  • 如果将固件降级到版本1.1,则固件2.2中创建的fips密钥不可用。

必备条件

从m.giftsix.com的下载页面下载以下文件。这些文件必须存储在设备上的/var/nsinstall目录中。

  • Fw 2.2文件:Fw -2.2-130013
  • FW 2.2签名文件:FW-2.2-130013.sign

Fw-2.2-130013是推荐的固件版本。它包括改进DRBG的修复程序。

在独立设备上将fips固件更新为2.2版

  1. 使用管理员凭据登录到该设备。

  2. 在提示符下,键入以下命令以确认fips卡已初始化。

    show fips fips HSM信息:HSM标签:Citrix ADC fips初始化:fips -140-2 Level-2 HSM状态:2 HSM型号:NITROX XL CN1620-NFBE硬件版本:2.0-G固件版本:1.1固件发布日期:2010年6月04日最大fips关键内存:3996空闲fips关键内存:3992总SRAM内存:467348空闲SRAM内存:62512总加密内核:3启用加密内核:1 Done

  3. 保存配置。在提示符下,键入:

    保存配置

  4. 执行更新。在提示符下,键入:

    更新ssl fips -fipsFW <提取内容的路径>/CN16XX-NFBE-FW-2.2-1300013

    出现以下提示时按y:

    该命令将更新FIPS固件的兼容版本。执行该命令前必须先保存当前配置(saveconfig)。执行该命令后,必须重新启动系统,固件更新才能生效。(Y/N)Y Done

注意:您只需指定固件文件,因为固件签名文件位于同一位置。

此更新最多需要 10 秒。更新命令被阻止,这意味着在命令完成之前不会执行任何其他操作。命令执行完成后,命令提示符再次出现。

  1. 重新启动设备。在提示符下,键入:

    reboot是否确定要重新启动NetScaler (Y/N)?[N]: Y < !——NeedCopy >

  2. 验证更新是否成功。在提示符下,键入:

    Show fips

    输出中显示的固件版本必须为2.2。例如:

    sh fips fips HSM信息:HSM标签:Citrix ADC fips初始化:fips 140 - 2所二级HSM编号:2.1 g1207-ic002429 HSM状态:2 HSM模型:氮化物XL CN1620-NFBE硬件版本:2.0 g固件版本:2.2固件构建:nfbe -弗兰克-威廉姆斯- 2.2 - 130013 Max fips关键内存:3996免费fips关键内存:3982总SRAM内存:467348免费SRAM内存:50472总加密芯:3启用加密核心:1做< !——NeedCopy >

在高可用性对中的设备上将fips固件更新为2.2版

  1. 登录到辅助节点并执行更新,如"在独立设备上将fips固件更新到2.2版本"中所述。

    强制辅助节点成为主节点。在提示符下,键入:

    强制故障转移

    在确认提示符处按Y

  2. 登录到新的辅助节点(旧的主节点),并按照”在独立设备上将FIPS固件更新到2.2版本”中所述执行更新。

  3. 强制新的辅助节点再次成为主节点。在提示符下,键入:

    强制故障转移

    在确认提示符处按Y

在独立设备上将fips固件更新为1.1版

  1. 从m.giftsix.com上的下载页面将nfb_firmware-r1235_100604和nfb_firmware-r1235_100604。签名文件下载到设备上的同一目录。

  2. 使用管理员凭据登录到该设备。

  3. 在提示符下,键入:

    更新ssl fips -fipsFW /<文件>/nfb_firmware-r1235_100604
将fips卡上的固件更新至版本2.2
2021年8月24日
贡献者:
C
2021年8月24日
贡献者:
C

本文中包含的内容

站点反馈 | 隐私和法律条款 | Cookie首选项 | 同意设置
©1999 -思杰系统公司版权所有。