Erstellen eines FIPS-Schlüssels für eine Instanz auf einer SDX 14030/14060/14080 FIPS-Einheit

Sie können einen FIPS-Schlüssel auf Ihrer Instanz erstellen oder einen vorhandenen FIPS-Schlüssel in die Instanz importieren. Eine SDX 14030/14060/14080 FIPS-Einheit unterstützt nur 2048-Bit- und 3072-Bit-Schlüssel und einen Exponentenwert von F4. Für PEM-Schlüssel ist kein Exponent erforderlich. Stellen Sie sicher, dass der FIPS-Schlüssel korrekt erstellt wurde. Erstellen Sie eine Zertifikatsignaturanforderung und ein Serverzertifikat. Fügen Sie schließlich der Instanz das Zertifikatschlüsselpaar hinzu.

Hinweis:

1024-Bit- und 4096-Bit-Schlüssel und ein Exponentenwert von 3 werden nicht unterstützt.

Erstellen eines FIPS-Schlüssels mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

create ssl fipsKey <fipsKeyName> -keytype ( RSA | ECDSA ) [-exponent (3 | F4 )] [-modulus <positive_integer>] [-curve ( P_256 | P_384 )]

Beispiel:

create fipsKey f1 -keytype RSA -modulus 2048 -exponent F4

Done

show ssl fipskey ddvws

FIPS Key Name: f1  Key Type: RSA Modulus: 2048   Public Exponent: F4 (Hex: 0x10001)

Done

Importieren eines FIPS-Schlüssels mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

import ssl fipsKey <fipsKeyName> -key <string> [-inform <inform>] [-wrapKeyName <string>] [-iv<string>] [-exponent F4 ]

Beispiel:

import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform SIM -exponent F4
Done
import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform PEM
Done

Überprüfen Sie, ob der FIPS-Schlüssel korrekt erstellt oder importiert wurde, indem Sie den Befehl show fipskey ausführen.

show fipskey
1)      FIPS Key Name: Key-FIPS-2
Done

Erstellen einer Zertifikatsignaturanforderung mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

create ssl certReq <reqFile> (-keyFile <input_filename> | -fipsKeyName <string>) [-keyform ( DER | PEM )  {-PEMPassPhrase }] -countryName <string> -stateName <string> -organizationName<string> [-organizationUnitName <string>] [-localityName <string>] [-commonName <string>] [-emailAddress <string>] {-challengePassword } [-companyName <string>] [-digestMethod ( SHA1 | SHA256 )]

Beispiel:

create certreq f1.req –fipsKeyName f1 -countryName US -stateName CA -organizationName Citrix -companyName Citrix -commonName ctx -emailAddress test@example.com`
`Done

Erstellen eines Serverzertifikats mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

create ssl cert <certFile> <reqFile> <certType> [-keyFile <input_filename>] [-keyform ( DER | PEM ) {-PEMPassPhrase }] [-days <positive_integer>] [-certForm ( DER | PEM )] [-CAcert <input_filename>] [-CAcertForm ( DER | PEM )] [-CAkey <input_filename>] [-CAkeyForm ( DER | PEM )] [-CAserial <output_filename>]

Beispiel:

create cert f1.cert f1.req SRVR_CERT -CAcert ns-root.cert -CAkey ns-root.key -CAserial ns-root.srl -days 1000
Done

Im obigen Beispiel wird ein Serverzertifikat mit einer lokalen Stammzertifizierungsstelle auf der Appliance erstellt.

Hinzufügen eines Zertifikatschlüsselpaars mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add ssl certKey <certkeyName> (-cert <string> [-password]) [-key <string> | -fipsKey <string> | -hsmKey <string>] [-inform <inform>] [-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod   <positive_integer>]] [-bundle ( YES | NO )]

Beispiel:

add certkey cert1 -cert f1.cert -fipsKey f1
Done

Nach dem Erstellen des FIPS-Schlüssels und des Serverzertifikats können Sie die generische SSL-Konfiguration hinzufügen. Aktivieren Sie die Funktionen, die für Ihre Bereitstellung erforderlich sind. Fügen Sie Server, Dienste und virtuelle SSL-Server hinzu. Binden Sie das Zertifikatschlüsselpaar und den Dienst an den virtuellen SSL-Server, und speichern Sie die Konfiguration.

enable ns feature SSL LB
Done
add server s1 10.217.2.5
Done
add service sr1 s1 HTTP 80
Done
add lb vserver v1 SSL 10.217.2.172 443
Done
bind ssl vserver v1 –certkeyName cert1
Done
bind lb vserver v1 sr1
Done
saveconfig
Done

Informationen zum Konfigurieren von sicherem HTTPS und sicherem RPC erhalten Sie, indem Sie auf klickenhier.