Citrix ADC

MPX 9700/10500/12500/15500 FIPS-Geräte

Der Federal Information Processing Standard (FIPS), ausgestellt vom US National Institute of Standards and Technologies, legt die Sicherheitsanforderungen für ein kryptografisches Modul fest, das in einem Sicherheitssystem verwendet wird. Die Citrix ADC FIPS-Appliance erfüllt die zweite Version dieses Standards, FIPS-140-2.

Hinweis: Alle Verweise auf FIPS implizieren fortan FIPS-140-2.

Die FIPS-Appliance ist mit einem manipulationssicheren (manipulationssicheren) Kryptografie-Modul und einem Cavium CN1620-NFBE3-2.0-G der MPX 9700/10500/12500/15500 FIPS Appliances ausgestattet, die den FIPS 140-2 Level-2-Spezifikationen entsprechen. Die kritischen Sicherheitsparameter (CSPs), in erster Linie der private Schlüssel des Servers, werden sicher im kryptografischen Modul gespeichert und generiert, auch als Hardwaresicherheitsmodul (HSM) bezeichnet. Auf die CSPs wird niemals außerhalb der Grenzen des HSM zugegriffen. Nur der Superuser (nsroot) kann Operationen an den im HSM gespeicherten Schlüsseln ausführen.

In der folgenden Tabelle werden die Unterschiede zwischen Standard-Citrix ADC und Citrix ADC FIPS-Appliances zusammengefasst.

Einstellung Citrix ADC Appliance Citrix ADC FIPS-Appliance
Schlüsselspeicher Auf der Festplatte Auf der FIPS-Karte
Verschlüsselungsunterstützung Alle Chiffre FIPS-zugelassene Chiffre
Zugriff auf Schlüssel Von der Festplatte Nicht zugänglich

Die Konfiguration einer FIPS-Appliance beinhaltet die Konfiguration des HSM unmittelbar nach Abschluss des generischen Konfigurationsprozesses. Anschließend erstellen oder importieren Sie einen FIPS-Schlüssel. Nachdem Sie einen FIPS-Schlüssel erstellt haben, sollten Sie ihn zum Backup exportieren. Möglicherweise müssen Sie auch einen FIPS-Schlüssel exportieren, damit Sie ihn in eine andere Appliance importieren können. Wenn Sie beispielsweise FIPS-Appliances in einem Hochverfügbarkeits-Setup konfigurieren, muss der FIPS-Schlüssel vom primären Knoten auf den sekundären Knoten übertragen werden, unmittelbar nach Abschluss der standardmäßigen HA-Setup.

Sie können die Firmware-Version auf der FIPS-Karte von Version 4.6.0 auf 4.6.1 aktualisieren und ein gesperrtes HSM zurücksetzen, um eine unbefugte Anmeldung zu verhindern. Auf einer Citrix ADC FIPS-Appliance werden nur FIPS-zugelassene Chiffre unterstützt.

HSM-Konfiguration

Bevor Sie das HSM Ihrer Citrix ADC FIPS-Appliance konfigurieren können, müssen Sie die anfängliche Hardwarekonfiguration abschließen. Weitere Hinweise zu MPX-Appliances finden Sie unterErstkonfiguration. Informationen zu SDX-Appliances erhalten Sie, indem Sie auf klickenhier.

Durch die Konfiguration des HSM Ihrer Citrix ADC FIPS-Appliance werden alle vorhandenen Daten auf dem HSM gelöscht. Um das HSM zu konfigurieren, müssen Sie als Superuser (nsroot-Konto) bei der Appliance angemeldet sein. Das HSM ist mit Standardwerten für das Security Officer (SO) Kennwort und das Benutzerkennwort vorkonfiguriert, mit denen Sie das HSM konfigurieren oder ein gesperrtes HSM zurücksetzen. Die maximal zulässige Länge für das Kennwort beträgt 14 alphanumerische Zeichen. Symbole sind nicht zulässig.

Wichtig: Führen Sie den Befehl set ssl fips nicht aus, ohne vorher die FIPS-Karte zurückzusetzen und die MPX FIPS-Einheit neu zu starten.

Obwohl die FIPS-Appliance mit den Standardkennwortwerten verwendet werden kann, sollten Sie sie vor der Verwendung ändern. Das HSM kann nur konfiguriert werden, wenn Sie sich bei der Appliance als Superuser anmelden und die SO- und Benutzerkennwörter angeben.

Wichtig: Aufgrund von Sicherheitseinschränkungen bietet die Appliance keine Möglichkeit zum Abrufen des SO-Kennworts. Speichern Sie eine Kopie des Kennworts sicher. Wenn Sie das HSM neu initialisieren müssen, müssen Sie dieses Kennwort als altes SO-Kennwort angeben.

Bevor Sie das HSM initialisieren, können Sie auf den neuesten Build der Software upgraden. Informationen zum Upgrade auf den neuesten Build finden Sie unterUpgrade oder Herabstufung der Systemsoftware.

Stellen Sie nach dem Upgrade sicher, dass das Verzeichnis /nsconfig/fips auf der Appliance erfolgreich erstellt wurde.

Konfigurieren des HSM auf einer MPX 9700/10500/12500/15500 FIPS-Appliances mit der CLI

Nachdem Sie sich bei der Appliance als Superuser angemeldet und die Erstkonfiguration abgeschlossen haben, geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um das HSM zu konfigurieren und die Konfiguration zu überprüfen:

show ssl fips

reset ssl fips

reboot

set ssl fips -initHSM Level-2 <newSOpassword> <oldSOpassword> <userPassword> [-hsmLabel <string>]

save ns config

reboot

show ssl fips

Beispiel:

show fips

    FIPS Card is not configured
    Done
    reset fips
    reboot
    Are you sure you want to restart NetScaler (Y/N)? [N]:y

    set ssl fips -initHSM Level-2 sopin12345 so12345 user123 -hsmLabel cavium

    This command will erase all data on the FIPS card. You must save the configuration

    (saveconfig) after executing this command.


    Do you want to continue?(Y/N)y
    Done

    save ns config

    reboot

    Are you sure you want to restart NetScaler (Y/N)? [N]:y

    show fips

            FIPS HSM Info:
    HSM Label              : Citrix ADC FIPS
    Initialization         : FIPS-140-2 Level-2
    HSM Serial Number      : 2.1G1008-IC000021
    HSM State              : 2
    HSM Model              : NITROX XL CN1620-NFBE
    Firmware Version       : 1.1
    Firmware Release Date  : Jun04,2010
    Max FIPS Key Memory    : 3996
    Free FIPS Key Memory   : 3994
    Total SRAM Memory      : 467348
    Free SRAM Memory       : 62564
    Total Crypto Cores      : 3
    Enabled Crypto Cores    : 1
    Done

    Note: If you upgrade the firmware to version 2.2, the firmware release date is replaced with the firmware build.



    > show fips

    FIPS HSM Info:

    HSM Label                : Citrix ADC FIPS
    Initialization              : FIPS-140-2 Level-2
    HSM Serial Number    : 3.0G1235-ICM000264
    HSM State                : 2
    HSM Model               : NITROX XL CN1620-NFBE
    Hardware Version       : 2.0-G
    Firmware Version        : 2.2
    Firmware Build           : NFBE-FW-2.2-130009
    Max FIPS Key Memory : 3996
    Free FIPS Key Memory : 3958
    Total SRAM Memory    : 467348
    Free SRAM Memory     : 50524
    Total Crypto Cores      : 3
    Enabled Crypto Cores  : 3
    Done

Konfigurieren des HSM auf einer MPX 9700/10500/12500/15500 FIPS-Appliances mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > FIPS.

  2. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Info auf FIPS zurücksetzen.

  3. Klicken Sie im Navigationsbereich auf System.

  4. Klicken Sie im Detailbereich auf Neu starten.

  5. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Info auf HSM initialisieren.

  6. Geben Sie im Dialogfeld HSM initialisieren Werte für die folgenden Parameter an:

    • Security Officer (SO) Kennwort*- Neues SO-Kennwort
    • Altes SO-Kennwort*-altes SO-Kennwort
    • Benutzerkennwort*- Benutzerkennwort
    • Level - InithSM (momentan auf Level2 eingestellt und kann nicht geändert werden)
    • HSM-Beschriftung - HSMLabel

    * Ein erforderlicher Parameter

  7. Klicken Sie auf OK.

  8. Klicken Sie im Detailbereich auf Speichern.

  9. Klicken Sie im Navigationsbereich auf System.

  10. Klicken Sie im Detailbereich auf Neu starten.

  11. Überprüfen Sie unter FIPS HSM Info, ob die Informationen, die für das gerade konfigurierte FIPS HSM angezeigt werden, korrekt sind.

FIPS-Schlüssel erstellen und übertragen

Nachdem Sie das HSM Ihrer FIPS-Appliance konfiguriert haben, können Sie einen FIPS-Schlüssel erstellen. Der FIPS-Schlüssel wird im HSM der Appliance erstellt. Anschließend können Sie den FIPS-Schlüssel als gesichertes Backup auf die CompactFlash-Karte der Appliance exportieren. Wenn Sie den Schlüssel exportieren, können Sie ihn auch übertragen, indem Sie ihn in das /flash einer anderen Appliance kopieren und dann in das HSM dieser Appliance importieren. Sie müssen SIM zwischen zwei eigenständigen Knoten aktivieren, bevor Sie die Schlüssel exportieren und übertragen. Wenn in einem HA-Setup einer der Knoten durch eine neue Appliance ersetzt wird, müssen Sie SIM zwischen dieser neuen Appliance und der vorhandenen Appliance des HA-Setups aktivieren, bevor Sie FIPS-Schlüssel exportieren oder importieren.

Anstatt einen FIPS-Schlüssel zu erstellen, können Sie einen vorhandenen FIPS-Schlüssel importieren oder einen externen Schlüssel als FIPS-Schlüssel importieren. Wenn Sie ein Zertifikatschlüsselpaar von 2048 Bits auf MPX 9700/10500/12500/15500 FIPS-Appliances hinzufügen, stellen Sie sicher, dass Sie über das richtige Zertifikat und das richtige Schlüsselpaar verfügen.

Hinweis: Wenn Sie eine HA-Setup planen, stellen Sie sicher, dass die FIPS-Appliances in einem HA-Setup konfiguriert sind, bevor Sie einen FIPS-Schlüssel erstellen.

FIPS-Schlüssel erstellen

Stellen Sie vor dem Erstellen eines FIPS-Schlüssels sicher, dass der HSM konfiguriert ist.

Sie müssen den Schlüsseltyp (RSA oder ECDSA) angeben und die Kurve für ECDSA-Schlüssel angeben.

Erstellen eines FIPS-Schlüssels mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > FIPS.
  2. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel auf Hinzufügen.
  3. Geben Sie im Dialogfeld FIPS-Schlüssel erstellen Werte für die folgenden Parameter an:

    • FIPS-Schlüsselname* - FIPSKeyName
    • Modul*-Modul
    • Exponent* - Exponent

    * Ein erforderlicher Parameter

  4. Klicken Sie auf Erstellen und dann auf Schließen.
  5. Überprüfen Sie auf der Registerkarte FIPS-Schlüssel, ob die Einstellungen für den gerade erstellten FIPS-Schlüssel korrekt sind.

Erstellen eines FIPS-Schlüssels mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen FIPS-Schlüssel zu erstellen und die Einstellungen zu überprüfen:

create ssl fipsKey <fipsKeyName> -modulus <positive_integer> [-exponent ( 3 | F4 )]

show ssl fipsKey [<fipsKeyName>]

Beispiel:

    create fipskey Key-FIPS-1 -keytype RSA -modulus 2048 -exponent 3

    show ssl fipsKey Key-FIPS-1

                FIPS Key Name: Key-FIPS-1 Key Type: RSA Modulus: 2048   Public Exponent: F4 (Hex: 0x10001)

FIPS-Schlüssel exportieren

Citrix empfiehlt, ein Backup eines Schlüssels zu erstellen, der im FIPS HSM erstellt wurde. Wenn ein Schlüssel im HSM gelöscht wird, gibt es keine Möglichkeit, denselben Schlüssel erneut zu erstellen, und alle damit verbundenen Zertifikate werden nutzlos gerendert.

Zusätzlich zum Exportieren eines Schlüssels als Backup müssen Sie möglicherweise einen Schlüssel für die Übertragung auf eine andere Appliance exportieren.

Das folgende Verfahren enthält Anweisungen zum Exportieren eines FIPS-Schlüssels in den Ordner /nsconfig/ssl auf dem CompactFlash der Appliance und zum Sichern des exportierten Schlüssels mithilfe einer starken asymmetrischen Schlüsselverschlüsselungsmethode.

Exportieren eines FIPS-Schlüssels mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

export ssl fipsKey <fipsKeyName> -key <string>

Beispiel:

export fipskey Key-FIPS-1 -key Key-FIPS-1.key

Exportieren eines FIPS-Schlüssels mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > FIPS

  2. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel auf Exportieren.

  3. Geben Sie im Dialogfeld FIPS-Schlüssel in eine Datei exportieren Werte für die folgenden Parameter an:

    • FIPS-Schlüsselname* - FIPSKeyName
    • Dateiname* - Schlüssel (Um die Datei an einem anderen Speicherort als dem Standardspeicherort zu platzieren, können Sie entweder den vollständigen Pfad angeben oder auf die Schaltfläche Durchsuchen klicken und zu einem Speicherort navigieren.)

    * Ein erforderlicher Parameter

  4. Klicken Sie auf Exportieren, und klicken Sie dann auf Schließen.

Importieren eines vorhandenen FIPS-Schlüssels

Um einen vorhandenen FIPS-Schlüssel mit Ihrer FIPS-Appliance zu verwenden, müssen Sie den FIPS-Schlüssel von der Festplatte der Appliance in das HSM übertragen.

Hinweis: Um Fehler beim Importieren eines FIPS-Schlüssels zu vermeiden, stellen Sie sicher, dass der Name des importierten Schlüssels mit dem ursprünglichen Schlüsselnamen übereinstimmt, wenn er erstellt wurde.

Importieren eines FIPS-Schlüssels auf MPX 9700/10500/12500/15500 FIPS-Appliances mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen FIPS-Schlüssel zu importieren und die Einstellungen zu überprüfen:

-  import ssl fipsKey <fipsKeyName> -key <string> -inform SIM -exponent (F4 | 3)
-  show ssl fipskey <fipsKeyName>

Beispiel:

import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform SIM -exponent F4
show ssl fipskey key-FIPS-2
FIPS Key Name: Key-FIPS-2 Modulus: 2048   Public Exponent: F4 (Hex value 0x10001)

Importieren eines FIPS-Schlüssels mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > FIPS

  2. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel auf Importieren.

  3. Wählen Sie im Dialogfeld Als FIPS-Schlüssel importieren die Option FIPS-Schlüsseldatei aus, und legen Sie Werte für die folgenden Parameter fest:

    • FIPS-Schlüsselname*
    • Schlüsseldateiname* - Um die Datei an einem anderen Speicherort als dem Standardspeicherort zu platzieren, können Sie entweder den vollständigen Pfad angeben oder auf Durchsuchen klicken und zu einem Speicherort navigieren.
    • Exponent*

    * Ein erforderlicher Parameter

  4. Klicken Sie auf Importieren, und klicken Sie dann auf Schließen.

  5. Überprüfen Sie auf der Registerkarte FIPS-Schlüssel, ob die Einstellungen für den gerade importierten FIPS-Schlüssel korrekt sind.

Importieren eines externen Schlüssels

Zusätzlich zum Übertragen von FIPS-Schlüsseln, die im HSM der Citrix ADC Appliance erstellt wurden, können Sie externe private Schlüssel (z. B. die auf einem standardmäßigen Citrix ADC, Apache oder IIS erstellten Schlüssel) an eine FIPS Citrix ADC-Appliance übertragen. Externe Schlüssel werden außerhalb des HSM mit einem Werkzeug wie OpenSSL erstellt. Bevor Sie einen externen Schlüssel in das HSM importieren, kopieren Sie ihn auf das Flash-Laufwerk der Appliance unter /nsconfig/ssl.

Auf den MPX 9700/10500/12500/15500 FIPS-Appliances ist der Parameter -exponent im Befehl import ssl fipskey beim Importieren eines externen Schlüssels nicht erforderlich. Der richtige öffentliche Exponent wird automatisch erkannt, wenn der Schlüssel importiert wird, und der Wert des -exponent-Parameters wird ignoriert.

Die Citrix ADC FIPS-Appliance unterstützt keine externen Schlüssel mit einem anderen öffentlichen Exponenten als 3 oder F4.

Sie benötigen keinen Wrap Schlüssel für MPX 9700/10500/12500/15500 FIPS-Appliances.

Sie können einen externen, verschlüsselten FIPS-Schlüssel nicht direkt in eine MPX 9700/10500/12500/15500 FIPS-Appliance importieren. Um den Schlüssel zu importieren, müssen Sie zuerst den Schlüssel entschlüsseln und dann importieren. Um den Schlüssel zu entschlüsseln, geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

openssl rsa -in <EncryptedKey.key> > <DecryptedKey.out>

Hinweis: Wenn Sie einen RSA-Schlüssel als FIPS-Schlüssel importieren, empfiehlt Citrix, den RSA-Schlüssel aus Sicherheitsgründen aus der Appliance zu löschen.

Importieren eines externen Schlüssels als FIPS-Schlüssel in eine MPX 9700/10500/12500/15500 FIPS-Appliance mit der CLI

  1. Kopieren Sie den externen Schlüssel auf das Flash-Laufwerk der Appliance.
  2. Wenn der Schlüssel im PFX-Format ist, müssen Sie ihn zuerst in das PEM-Format konvertieren. Geben Sie an der Eingabeaufforderung Folgendes ein:

    convert ssl pkcs12 <output file> -import -pkcs12File <input .pfx file name> -password <password>
    
  3. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um den externen Schlüssel als FIPS-Schlüssel zu importieren und die Einstellungen zu überprüfen:

    import ssl fipsKey <fipsKeyName> -key <string> -informPEM
    show ssl fipskey<fipsKeyName>
    

Beispiel:

convert ssl pkcs12 iis.pem -password 123456 -import -pkcs12File iis.pfx

import fipskey Key-FIPS-2 -key iis.pem -inform PEM

show ssl fipskey key-FIPS-2

FIPS Key Name: Key-FIPS-2 Modulus: 0   Public Exponent: F4 (Hex value 0x10001)

Importieren eines externen Schlüssels als FIPS-Schlüssel in eine MPX 9700/10500/12500/15500 FIPS-Appliance mit der GUI

  1. Wenn der Schlüssel im PFX-Format ist, müssen Sie ihn zuerst in das PEM-Format konvertieren.

    1. Navigieren Sie zu Traffic Management > SSL.
    2. Klicken Sie im Detailbereich unter Extras auf PKCS #12 importieren.
    3. Legen Sie im Dialogfeld PKCS12-Datei importieren die folgenden Parameter fest:
      • Name der Ausgabedatei*
      • PKCS12 Dateiname* - Geben Sie den Dateinamen .pfx an.
      • Kennwort importieren*
      • Kodierungsformat *Ein erforderlicher Parameter
  2. Navigieren Sie zu Traffic Management > SSL > FIPS

  3. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel auf Importieren.

  4. Wählen Sie im Dialogfeld Als FIPS-Schlüssel importieren die Option PEM-Datei aus, und legen Sie Werte für die folgenden Parameter fest:

    • FIPS-Schlüsselname*
    • Schlüsseldateiname* - Um die Datei an einem anderen Speicherort als dem Standardspeicherort zu platzieren, können Sie entweder den vollständigen Pfad angeben oder auf Durchsuchen klicken und zu einem Speicherort navigieren.

    * Ein erforderlicher Parameter

  5. Klicken Sie auf Importieren, und klicken Sie dann auf Schließen.

  6. Überprüfen Sie auf der Registerkarte FIPS-Schlüssel, ob die Einstellungen für den gerade importierten FIPS-Schlüssel korrekt sind.

MPX 9700/10500/12500/15500 FIPS-Geräte