Citrix ADC

MPX 14000 FIPS-Geräte

Wichtig:

Die Konfigurationsschritte für NetScaler MPX 14000 FIPS und NetScaler MPX 9700/10500/12500/15500 FIPS-Appliances sind unterschiedlich. MPX 14000 FIPS-Appliances verwenden keine Firmware v2.2. Ein FIPS-Schlüssel, der auf der HSM der MPX 9700 Plattform erstellt wurde, kann nicht an HSM der MPX 14000 Plattform übertragen werden und umgekehrt. Wenn Sie jedoch einen RSA-Schlüssel als FIPS-Schlüssel importiert haben, können Sie den RSA-Schlüssel auf die MPX 14000-Plattform kopieren und dann als FIPS-Schlüssel importieren. Es werden nur 2048-Bit- und 3072-Bit-Schlüssel unterstützt.

Eine FIPS-Appliance ist mit einem manipulationssicheren (manipulationssicheren) kryptografischen Modul - einem Cavium CNN3560-NFBE-G - ausgestattet, das den FIPS 140-2 Level-3-Spezifikationen entspricht (ab Release 12.0 Build 56.x). Die kritischen Sicherheitsparameter (CSPs), in erster Linie der private Schlüssel des Servers, werden sicher im kryptografischen Modul gespeichert und generiert, auch als Hardwaresicherheitsmodul (HSM) bezeichnet. Auf die CSPs wird niemals außerhalb der Grenzen des HSM zugegriffen. Nur der superuser (nsroot) kann Operationen an den im HSM gespeicherten Schlüsseln ausführen.

Bevor Sie eine FIPS-Appliance konfigurieren, müssen Sie den Status der FIPS-Karte überprüfen und dann die Karte initialisieren. Erstellen Sie einen FIPS-Schlüssel und ein Serverzertifikat, und fügen Sie zusätzliche SSL-Konfiguration hinzu.

Hinweise zu den unterstützten FIPS-Verschlüsselungen finden Sie unterFIPS-zugelassene Algorithmen und Chiffre.

Hinweise zum Konfigurieren von FIPS-Appliances in einem Hochverfügbarkeits-Setup finden Sie unterKonfigurieren von FIPS-Appliances in einem Hochverfügbarkeits-Setup.

Einschränkungen

  1. SSL-Neuverhandlungen mit dem SSLv3-Protokoll werden im Backend einer MPX-FIPS-Appliance nicht unterstützt.
  2. 1024-Bit- und 4096-Bit-Tasten und der Exponentenwert 3 werden nicht unterstützt.
  3. Das 4096-Bit-Serverzertifikat wird nicht unterstützt.
  4. Das 4096-Bit-Clientzertifikat wird nicht unterstützt (wenn die Clientauthentifizierung auf dem Back-End-Server aktiviert ist).

Konfigurieren des HSM

Überprüfen Sie vor der Konfiguration des HSM auf einer MPX 14000 FIPS-Appliance den Status Ihrer FIPS-Karte, um zu überprüfen, ob der Treiber korrekt geladen wurde. Dann initialisieren Sie die Karte.

Geben Sie an der Eingabeaufforderung Folgendes ein:

show fips

FIPS Card is not configured
Done

Die Meldung FEHLER: Betrieb nicht erlaubt - keine FIPS-Karte im System vorhanden erscheint, wenn der Treiber nicht korrekt geladen ist.

Initialisieren der FIPS-Karte

Die Appliance muss dreimal neu gestartet werden, damit die FIPS-Karte ordnungsgemäß initialisiert werden kann.

Wichtig

  • Stellen Sie sicher, dass das Verzeichnis /nsconfig/fips auf der Appliance erfolgreich erstellt wurde.
  • Speichern Sie die Konfiguration nicht, bevor Sie die Appliance zum dritten Mal neu starten.

Führen Sie die folgenden Schritte aus, um die FIPS-Karte zu initialisieren:

  1. Setzen Sie die FIPS-Karte zurück.
  2. Starten Sie die Appliance neu.
  3. Legen Sie das Kennwort des Sicherheitsbeauftragten für die Partitionen 0 und 1 sowie das Benutzerkennwort für die Partition fest.

    Hinweis: Die Ausführung des Befehls set oder reset dauert mehr als 60 Sekunden.

  4. Speichern Sie die Konfiguration.
  5. Stellen Sie sicher, dass der kennwortverschlüsselte Schlüssel für die Master-Partition (master_pek.key) im Verzeichnis /nsconfig/fips/ erstellt wurde.
  6. Starten Sie die Appliance neu.
  7. Stellen Sie sicher, dass der kennwortverschlüsselte Schlüssel für die Standardpartition (default_pek.key) im Verzeichnis /nsconfig/fips/ erstellt wurde.
  8. Starten Sie die Appliance neu.
  9. Stellen Sie sicher, dass die FIPS-Karte auf UP ist.

Initialisieren Sie die FIPS-Karte mit der CLI

Derset fips Befehl initialisiert das Hardwaresicherheitsmodul (HSM) auf der FIPS-Karte und legt ein neues Kennwort für den Sicherheitsbeauftragten und ein neues Benutzerkennwort fest.

Achtung: Mit diesem Befehl werden alle Daten auf der FIPS-Karte gelöscht. Sie werden aufgefordert, bevor Sie mit der Ausführung des Befehls fortfahren. Ein Neustart ist vor und nach dem Ausführen dieses Befehls erforderlich, damit die Änderungen übernommen werden. Speichern Sie die Konfiguration nach Ausführung dieses Befehls und vor dem Neustart der Appliance.

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

reset fips
 Done

reboot

set fips -initHSM Level-2 so12345 so12345 user123 -hsmLabel NSFIPS

This command will erase all data on the FIPS card. You must save the configuration (saveconfig) after executing this command. Do you want to continue?(Y/N)y

Done

Hinweis: Die folgende Meldung wird angezeigt, wenn Sie denset fipsBefehl ausführen:

This command will erase all data on the FIPS card. You must save the configuration (saveconfig) after executing this command. [Note: On MPX/SDX 14xxx FIPS platform, the FIPS security is at Level-3 by default, and the -initHSM Level-2 option is internally converted to Level-3]  Do you want to continue?(Y/N)y

saveconfig
Done

reboot

reboot

show fips

        FIPS HSM Info:
                 HSM Label              : NetScaler FIPS
                 Initialization         : FIPS-140-2 Level-3
                 HSM Serial Number      : 3.1G1836-ICM000136
                 HSM State              : 2
                 HSM Model              : NITROX-III CNN35XX-NFBE
                 Hardware Version       : 0.0-G
                 Firmware Version       : 1.0
                 Firmware Build         : NFBE-FW-1.0-48
                 Max FIPS Key Memory    : 102235
                 Free FIPS Key Memory   : 102231
                 Total SRAM Memory      : 557396
                 Free SRAM Memory       : 262780
                 Total Crypto Cores     : 63
                 Enabled Crypto Cores   : 63
 Done

FIPS-Schlüssel erstellen

Sie können einen FIPS-Schlüssel auf Ihrer MPX 14000 FIPS-Einheit erstellen oder einen vorhandenen FIPS-Schlüssel in die Appliance importieren. Die MPX 14000 FIPS Appliance unterstützt nur 2048-Bit- und 3072-Bit-Schlüssel und einen Exponentenwert von F4 (dessen Wert 65537 ist). Für PEM-Schlüssel ist kein Exponent erforderlich. Stellen Sie sicher, dass der FIPS-Schlüssel korrekt erstellt wurde. Erstellen Sie eine Zertifikatsignaturanforderung und ein Serverzertifikat. Fügen Sie schließlich das Zertifikatschlüsselpaar zu Ihrer Appliance hinzu.

Geben Sie den Schlüsseltyp an (RSA oder ECDSA). Geben Sie für ECDSA-Schlüssel nur die Kurve an.

Hinweis:

1024-Bit- und 4096-Bit-Schlüssel und ein Exponentenwert von 3 werden nicht unterstützt.

Erstellen eines FIPS-Schlüssels mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

create ssl fipsKey <fipsKeyName> -keytype ( RSA | ECDSA ) [-exponent ( 3 | F4 )] [-modulus <positive_integer>] [-curve ( P_256 | P_384 )]

Example1:

create fipsKey f1 -keytype RSA -modulus 2048 -exponent F4
Done

show ssl fipskey f1

FIPS Key Name: f1  Key Type: RSA Modulus: 2048   Public Exponent: F4 (Hex: 0x10001)
Done

Example2:

> create fipskey f2 -keytype ECDSA -curve P_256
 Done

> sh fipskey f2
    FIPS Key Name: f2   Key Type: ECDSA Curve: P_256
 Done

Importieren eines FIPS-Schlüssels mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

import ssl fipsKey <fipsKeyName> -key <string> [-inform <inform>] [-wrapKeyName <string>] [-iv<string>] -exponent  F4 ]

Beispiel:

import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform SIM -exponent F4
Done

import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform PEM
Done

Stellen Sie sicher, dass der FIPS-Schlüssel korrekt erstellt oder importiert wurde, indem Sie denshow fipskey Befehl ausführen.

show fipskey
1)      FIPS Key Name: Key-FIPS-2
Done

Erstellen einer Zertifikatsignaturanforderung mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

create ssl certReq <reqFile> (-keyFile <input_filename> | -fipsKeyName <string>) [-keyform ( DER | PEM )  {-PEMPassPhrase }] -countryName <string> -stateName <string> -organizationName<string> [-organizationUnitName <string>] [-localityName <string>] [-commonName <string>] [-emailAddress <string>] {-challengePassword } [-companyName <string>] [-digestMethod ( SHA1 | SHA256 )]

Beispiel:

>create certreq f1.req –fipsKeyName  f1 -countryName US  -stateName CA -organizationName Citrix -companyName Citrix -commonName ctx -emailAddress test@example.com
Done

Erstellen eines Serverzertifikats mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

create ssl cert <certFile> <reqFile> <certType> [-keyFile <input_filename>] [-keyform ( DER | PEM ) {-PEMPassPhrase }] [-days <positive_integer>] [-certForm ( DER | PEM )] [-CAcert <input_filename>] [-CAcertForm ( DER | PEM )] [-CAkey <input_filename>][-CAkeyForm ( DER | PEM )] [-CAserial <output_filename>]

Beispiel:

create cert f1.cert f1.req SRVR_CERT -CAcert ns-root.cert -CAkey ns-root.key -CAserial ns-root.srl -days 1000
Done

Im vorangegangenen Beispiel wird ein Serverzertifikat mit einer lokalen Stammzertifizierungsstelle auf der Appliance erstellt.

Hinzufügen eines Zertifikatschlüsselpaars mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add ssl certKey <certkeyName> (-cert <string> [-password]) [-key <string> | -fipsKey <string> | -hsmKey <string>] [-inform <inform>][-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod <positive_integer>]] [-bundle ( YES | NO )]

Beispiel:

add certkey cert1 -cert f1.cert -fipsKey f1
Done

Nach dem Erstellen des FIPS-Schlüssels und des Serverzertifikats können Sie die generische SSL-Konfiguration hinzufügen. Aktivieren Sie die Funktionen, die für Ihre Bereitstellung erforderlich sind. Fügen Sie Server, Dienste und virtuelle SSL-Server hinzu. Binden Sie das Zertifikatschlüsselpaar und den Dienst an den virtuellen SSL-Server. Speichern Sie die Konfiguration.

enable ns feature SSL LB
Done

add server s1 10.217.2.5
Done

add service sr1 s1 HTTP 80
Done

add lb vserver v1 SSL 10.217.2.172 443
Done

bind ssl vserver v1 –certkeyName cert1
Done

bind lb vserver v1 sr1
Done

 saveconfig
Done

Die Grundkonfiguration Ihrer MPX 14000 FIPS Appliance ist nun abgeschlossen.

Informationen zum Konfigurieren von sicherem HTTPS erhalten Sie, indem Sie auf klickenhier.

Informationen zum Konfigurieren von sicherem RPC erhalten Sie, indem Sie auf klickenhier.

Aktualisieren der Lizenz auf einer MPX 14000 FIPS-Appliance

Jedes Update der Lizenz auf dieser Plattform erfordert zwei Neustarts.

  1. Aktualisieren Sie die Lizenz im/nsconfig/license Ordner.
  2. Starten Sie die Appliance neu.
  3. Melden Sie sich bei der Appliance an.
  4. Starten Sie die Appliance erneut neu. Hinweis: Fügen Sie keine neuen Befehle hinzu, speichern Sie die Konfiguration oder überprüfen Sie den Systemstatus vor dem zweiten Neustart.
  5. Melden Sie sich bei der Appliance an, und stellen Sie sicher, dass FIPS initialisiert wird, indem Sie denshow ssl fips Befehl ausführen.

Unterstützung für den hybriden FIPS-Modus auf den MPX 14000 FIPS- und SDX 14000 FIPS-Plattformen

Hinweis:

Diese Funktion wird nur auf der neuen MPX/SDX 14000 FIPS Plattform unterstützt, die eine primäre FIPS-Karte und eine oder mehrere sekundäre Karten enthält. Es wird nicht auf einer VPX-Plattform oder einer Plattform unterstützt, die nur einen Hardwarekarten enthält.

Auf einer FIPS-Plattform erfolgt die Verschlüsselung und Entschlüsselung (asymmetrisch und symmetrisch) aus Sicherheitsgründen auf der FIPS-Karte. Sie können jedoch einen Teil dieser Aktivität (asymmetrisch) auf einer FIPS-Karte ausführen und die Massenverschlüsselung und -entschlüsselung (symmetrisch) auf eine andere Karte auslagern, ohne die Sicherheit Ihrer Schlüssel zu beeinträchtigen.

Die neue MPX/SDX 14000 FIPS Plattform enthält eine primäre Karte und eine oder mehrere sekundäre Karten. Wenn Sie den hybriden FIPS-Modus aktivieren, werden die geheimen Entschlüsselungsbefehle vor dem Master auf der primären Karte ausgeführt, da der private Schlüssel auf dieser Karte gespeichert ist. Die Massenverschlüsselung und -entschlüsselung wird jedoch auf die sekundäre Karte entladen. Diese Offload erhöht den Massenverschlüsselungsdurchsatz auf einer MPX/SDX 14000 FIPS-Plattform signifikant im Vergleich zum nicht-hybriden FIPS-Modus und der vorhandenen MPX 9700/10500/12500/15000 FIPS-Plattform. Die Aktivierung des hybriden FIPS-Modus verbessert auch die SSL-Transaktion pro Sekunde auf dieser Plattform.

Hinweise:

  • Der hybride FIPS-Modus ist standardmäßig deaktiviert, um die strengen Zertifizierungsanforderungen zu erfüllen, bei denen die gesamte Kryptoberechnung innerhalb eines FIPS-zertifizierten Moduls durchgeführt werden muss. Aktivieren Sie den Hybrid-Modus, um die Massenverschlüsselung und -entschlüsselung auf die sekundäre Karte zu entladen.

  • Auf einer SDX 14000 FIPS-Plattform müssen Sie zunächst der VPX-Instanz einen SSL-Chip zuweisen, bevor Sie den Hybridmodus aktivieren.

Aktivieren Sie den hybriden FIPS-Modus mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

set SSL parameter -hybridFIPSMode {ENABLED|DISABLED}

Arguments

hybridFIPSMode

When this mode is enabled, system will use additional crypto hardware to accelerate symmetric crypto operations.

Possible values: ENABLED, DISABLED

Default value: DISABLED

Beispiel:

    set SSL parameter -hybridFIPSMode ENABLED
    show SSL parameter
    Advanced SSL Parameters
    -----------------------
    . . . . . . . . . . . .
    Hybrid FIPS Mode    : ENABLED
    . . . . . . . . . . . .
    Done

Aktivieren Sie den hybriden FIPS-Modus mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL.
  2. Klicken Sie im Detailbereich unter Einstellungenauf Erweiterte SSL-Einstellungen ändern.
  3. Wählen Sie im Dialogfeld Erweiterte SSL-Einstellungen ändern die Option Hybrid FIPS-Modus aus.

Einschränkungen:

  1. Neuverhandlungen werden nicht unterstützt.

  2. Derstat ssl parameter Befehl auf einer SDX 14000-Plattform zeigt nicht den korrekten Prozentsatz der sekundären Kartenauslastung an. Es zeigt immer 0,00% Auslastung an.

stat ssl

SSL Summary
# SSL cards present 1
# SSL cards UP  1
# Secondary SSL cards present   4
# Secondary SSL cards UP    4
SSL engine status      1
SSL sessions (Rate)     963
Secondary card utilization (%)     0.00