Erstmaliges Konfigurieren einer FIPS-Appliance

Für den HTTPS-Zugriff auf das Konfigurationsdienstprogramm und für sichere Remoteprozeduraufrufe ist ein Zertifikatschlüsselpaar erforderlich. RPC-Knoten sind interne Systementitäten, die für die System-zu-System-Kommunikation von Konfigurations- und Sitzungsinformationen verwendet werden. Auf jeder Appliance ist ein RPC-Knoten vorhanden. Dieser Knoten speichert das Kennwort, das gegen das von der kontaktierenden Appliance bereitgestellte Kennwort überprüft wird. Um mit anderen Citrix ADC Appliances zu kommunizieren, benötigt jede Appliance Kenntnisse über die anderen Appliances, einschließlich der Authentifizierung auf der anderen Appliance. RPC-Knoten pflegen diese Informationen, einschließlich der IP-Adressen der anderen Citrix ADC Appliances und der Kennwörter, die für die Authentifizierung verwendet werden.

Auf einer virtuellen Citrix ADC MPX-Appliance wird ein Zertifikatschlüsselpaar automatisch an die internen Dienste gebunden. Auf einer FIPS-Appliance muss ein Zertifikatschlüsselpaar in das Hardwaresicherheitsmodul (HSM) einer FIPS-Karte importiert werden. Dazu müssen Sie die FIPS-Karte konfigurieren, ein Zertifikatschlüsselpaar erstellen und an die internen Dienste binden.

Konfigurieren von sicherem HTTPS mithilfe der CLI

Gehen Sie folgendermaßen vor, um sicheres HTTPS mithilfe der CLI zu konfigurieren

  1. Initialisieren Sie das Hardwaresicherheitsmodul (HSM) auf der FIPS-Karte der Appliance. Hinweise zum Initialisieren des HSM finden Sie unter Konfigurieren des HSM.

  2. Wenn die Appliance Teil eines Hochverfügbarkeits-Setups ist, aktivieren Sie die SIM. Informationen zum Aktivieren der SIM auf den primären und sekundären Appliances finden Sie unter “FIPS-Appliances in einem Hochverfügbarkeits-Setup konfigurieren.

  3. Importieren Sie den FIPS-Schlüssel in das HSM der FIPS-Karte der Appliance. Geben Sie an der Eingabeaufforderung Folgendes ein:

    importieren ssl fipskey serverkey -key ns-server.key -inform PEM

  4. Fügen Sie ein Zertifikatschlüsselpaar hinzu. Geben Sie an der Eingabeaufforderung Folgendes ein:

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. Binden Sie den im vorherigen Schritt erstellten Zertifikatschlüssel an die folgenden internen Dienste. Geben Sie an der Eingabeaufforderung Folgendes ein:

    bind ssl service nshttps-127.0.0.1-443 -certkeyname server

    bind ssl service nshttps-::11-443 -certkeyname server

Konfigurieren von sicherem HTTPS mithilfe der GUI

Gehen Sie folgendermaßen vor, um sicheres HTTPS mithilfe der GUI zu konfigurieren:

  1. Initialisieren Sie das Hardwaresicherheitsmodul (HSM) auf der FIPS-Karte der Appliance. Hinweise zum Initialisieren des HSM finden Sie unter Konfigurieren des HSM.

  2. Wenn die Appliance Teil eines Hochverfügbarkeits-Setups ist, aktivieren Sie das Secure Information System (SIM). Hinweise zum Aktivieren der SIM auf den primären und sekundären Appliances finden Sie unter FIPS-Appliances in einem Hochverfügbarkeits-Setup konfigurieren.
  3. Importieren Sie den FIPS-Schlüssel in das HSM der FIPS-Karte der Appliance. Weitere Informationen zum Importieren eines FIPS-Schlüssels finden Sie imImportieren eines vorhandenen FIPS-SchlüsselsAbschnitt.
  4. Navigieren Sie zu Traffic Management > SSL > Zertifikate.
  5. Klicken Sie im Detailbereich auf Installieren.
  6. Geben Sie im Dialogfeld Zertifikat installieren die Zertifikatdetails ein.
  7. Klicken Sie auf Erstellen, und klicken Sie dann auf Schließen.
  8. Navigieren Sie zu Traffic Management > Load Balancing > Services.
  9. Klicken Sie im Detailbereich auf der Registerkarte Aktion auf Interne Dienste.
  10. Wählen Sie nshttps-127.0.0.1-443 aus der Liste, und klicken Sie dann auf Öffnen.
  11. Wählen Sie auf der Registerkarte SSL-Einstellungen im Bereich Verfügbar das Zertifikat aus, das in Schritt 7 erstellt wurde, klicken Sie auf Hinzufügen, und klicken Sie dann auf OK.
  12. Wählen Sie nshttps-: :11-443 aus der Liste, und klicken Sie dann auf Öffnen.
  13. Wählen Sie auf der Registerkarte SSL-Einstellungen im Bereich Verfügbar das Zertifikat aus, das in Schritt 7 erstellt wurde, klicken Sie auf Hinzufügen, und klicken Sie dann auf OK.
  14. Klicken Sie auf OK.

Konfigurieren Sie sicheren RPC mithilfe der CLI

Gehen Sie folgendermaßen vor, um sicheren RPC mithilfe der CLI zu konfigurieren:

  1. Initialisieren Sie das Hardwaresicherheitsmodul (HSM) auf der FIPS-Karte der Appliance. Hinweise zum Initialisieren des HSM finden Sie unter Konfigurieren des HSM.

  2. Aktivieren Sie das sichere Informationssystem (SIM). Hinweise zum Aktivieren der SIM auf den primären und sekundären Appliances finden Sie unter FIPS-Appliances in einem Hochverfügbarkeits-Setup konfigurieren.

  3. Importieren Sie den FIPS-Schlüssel in das HSM der FIPS-Karte der Appliance. Geben Sie an der Eingabeaufforderung Folgendes ein:

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. Fügen Sie ein Zertifikatschlüsselpaar hinzu. Geben Sie an der Eingabeaufforderung Folgendes ein:

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. Binden Sie das Zertifikatschlüsselpaar an die folgenden internen Dienste. Geben Sie an der Eingabeaufforderung Folgendes ein:

    bind ssl service nsrpcs-127.0.0.1-3008 -certkeyname server

    bind ssl service nskrpcs-127.0.0.1-3009 -certkeyname server

    bind ssl service nsrpcs-::1l-3008 -certkeyname server

  6. Aktivieren Sie den sicheren RPC-Modus. Geben Sie an der Eingabeaufforderung Folgendes ein:

    set ns rpcnode <IP address> -secure YES

    Weitere Hinweise zum Ändern eines RPC-Knotenkennworts finden Sie unter Ändern eines RPC-Knotenkennworts.

Konfigurieren Sie sicheren RPC mithilfe der GUI

Gehen Sie folgendermaßen vor, um sicheren RPC mithilfe der GUI zu konfigurieren:

  1. Initialisieren Sie das Hardwaresicherheitsmodul (HSM) auf der FIPS-Karte der Appliance. Hinweise zum Initialisieren des HSM finden Sie unter Konfigurieren des HSM.
  2. Aktivieren Sie das sichere Informationssystem (SIM). Informationen zum Aktivieren der SIM auf den primären und sekundären Appliances finden Sie unterFIPS-Appliances in einem Hochverfügbarkeits-Setup konfigurieren.
  3. Importieren Sie den FIPS-Schlüssel in das HSM der FIPS-Karte der Appliance. Weitere Informationen zum Importieren eines FIPS-SchlüsselsImportieren eines vorhandenen FIPS-Schlüsselsfinden Sie im Abschnitt.
  4. Navigieren Sie zu Traffic Management > SSL > Zertifikate.
  5. Klicken Sie im Detailbereich auf Installieren.
  6. Geben Sie im Dialogfeld Zertifikat installieren die Zertifikatdetails ein.
  7. Klicken Sie auf Erstellen, und klicken Sie dann auf Schließen.
  8. Navigieren Sie zu Traffic Management > Load Balancing > Services.
  9. Klicken Sie im Detailbereich auf der Registerkarte Aktion auf Interne Dienste.
  10. Wählen Sie nsrpcs-127.0.0.1-3008 aus der Liste, und klicken Sie dann auf Öffnen.
  11. Wählen Sie auf der Registerkarte SSL-Einstellungen im Bereich Verfügbar das Zertifikat aus, das in Schritt 7 erstellt wurde, klicken Sie auf Hinzufügen, und klicken Sie dann auf OK.
  12. Wählen Sie nskrpcs-127.0.0.1-3009 aus der Liste, und klicken Sie dann auf Öffnen.
  13. Wählen Sie auf der Registerkarte SSL-Einstellungen im Bereich Verfügbar das Zertifikat aus, das in Schritt 7 erstellt wurde, klicken Sie auf Hinzufügen, und klicken Sie dann auf OK.
  14. Wählen Sie nsrpcs-: :11-3008 aus der Liste, und klicken Sie dann auf Öffnen.
  15. Wählen Sie auf der Registerkarte SSL-Einstellungen im Bereich Verfügbar das Zertifikat aus, das in Schritt 7 erstellt wurde, klicken Sie auf Hinzufügen, und klicken Sie dann auf OK.
  16. Klicken Sie auf OK.
  17. Navigieren Sie zu System > Netzwerk > RPC.
  18. Wählen Sie im Detailbereich die IP-Adresse aus, und klicken Sie auf Öffnen.
  19. Wählen Sie im Dialogfeld RPC-Knoten konfigurieren die Option Sichern aus.
  20. Klicken Sie auf OK.