Citrix ADC

Konfigurieren von FIPS auf Appliances in einer Hochverfügbarkeitseinrichtung

Sie können zwei Appliances in einem High Availability (HA) -Paar als FIPS-Appliances konfigurieren. Hinweise zum Konfigurieren eines HA-Setups finden Sie unterHohe Verfügbarkeit.

Hinweis: Citrix empfiehlt die Verwendung des Konfigurationsdienstprogramms (GUI) für dieses Verfahren. Wenn Sie die Befehlszeile (CLI) verwenden, stellen Sie sicher, dass Sie die im Verfahren aufgeführten Schritte sorgfältig ausführen. Wenn Sie die Reihenfolge der Schritte ändern oder eine falsche Eingabedatei angeben, kann dies zu einer Inkonsistenz führen, die einen Neustart der Appliance erfordert. Wenn Sie die CLI verwenden, wird dercreate ssl fipskey Befehl außerdem nicht an den sekundären Knoten weitergegeben. Wenn Sie den Befehl mit den gleichen Eingabewerten für Modulgröße und Exponent auf zwei verschiedenen FIPS-Appliances ausführen, sind die generierten Schlüssel nicht identisch. Erstellen Sie den FIPS-Schlüssel auf einem der Knoten und übertragen Sie ihn dann auf den anderen Knoten. Wenn Sie jedoch das Konfigurationsdienstprogramm verwenden, um FIPS-Appliances in einem HA-Setup zu konfigurieren, wird der von Ihnen erstellte FIPS-Schlüssel automatisch an den sekundären Knoten übertragen. Der Prozess der Verwaltung und Übertragung der FIPS-Schlüssel wird als Secure Information Management (SIM) bezeichnet.

Wichtig: Die HA-Setup muss innerhalb von sechs Minuten abgeschlossen sein. Wenn die Prozedur in einem Schritt fehlschlägt, gehen Sie wie folgt vor:

  1. Starten Sie die Appliance neu oder warten Sie 10 Minuten.
  2. Entfernen Sie alle Dateien, die von der Prozedur erstellt wurden.
  3. Wiederholen Sie den Vorgang der HA-Einrichtung.

Vorhandene Dateinamen nicht wiederverwenden.

Im folgenden Verfahren ist Appliance A der primäre Knoten und Appliance B der sekundäre Knoten.

Konfigurieren von FIPS auf Appliances in einem Hochverfügbarkeits-Setup über die CLI

Das folgende Diagramm fasst den Übertragungsprozess auf der CLI zusammen.

Abbildung 1. Übertragen der FIPS-Schlüsselübersicht

SIM-Prozessdetails

  1. Öffnen Sie auf Appliance A eine SSH-Verbindung zur Appliance mithilfe eines SSH-Clients, z. B. PuTTY.

  2. Melden Sie sich mit den Administratoranmeldeinformationen bei der Appliance an.

  3. Initialisieren Sie Appliance A als Quell-Appliance. Geben Sie an der Eingabeaufforderung Folgendes ein:

    init ssl fipsSIMsource <certFile>
    

    Beispiel:

    init fipsSIMsource /nsconfig/ssl/nodeA.cert

  4. Kopieren Sie diese Datei <certFile> in Appliance B im Ordner /nconfig/ssl.

    Beispiel:

    scp /nsconfig/ssl/nodeA.cert nsroot@198.51.100.10:/nsconfig/ssl

  5. Öffnen Sie auf Appliance B eine SSH-Verbindung zur Appliance mithilfe eines SSH-Clients, z. B. PuTTY.

  6. Melden Sie sich mit den Administratoranmeldeinformationen bei der Appliance an.

  7. Initialisieren Sie Appliance B als Ziel-Appliance. Geben Sie an der Eingabeaufforderung Folgendes ein:

    init ssl fipsSIMtarget <certFile> <keyVector> <targetSecret>
    

    Beispiel:

    init fipsSIMtarget /nsconfig/ssl/nodeA.cert /nsconfig/ssl/nodeB.key /nsconfig/ssl/nodeB.secret

  8. Kopieren Sie diese Datei <targetSecret> in Appliance A.

    Beispiel:

    scp /nsconfig/ssl/fipslbdal0801b.secret nsroot@198.51.100.20:/nsconfig/ssl

  9. Aktivieren Sie auf Appliance A die Appliance A als Quell-Appliance. Geben Sie an der Eingabeaufforderung Folgendes ein:

    enable ssl fipsSIMSource <targetSecret> <sourceSecret>
    

    Beispiel: enable fipsSIMsource /nsconfig/ssl/nodeB.secret /nsconfig/ssl/nodeA.secret

  10. Kopieren Sie diese Datei <sourceSecret> in Appliance B.

    Beispiel: scp /nsconfig/ssl/fipslbdal0801b.secret nsroot@198.51.100.10:/nsconfig/ssl

  11. Aktivieren Sie auf Appliance B die Appliance B als Ziel-Appliance. Geben Sie an der Eingabeaufforderung Folgendes ein:

    enable ssl fipsSIMtarget <keyVector> <sourceSecret>
    

    Beispiel: enable fipsSIMtarget /nsconfig/ssl/nodeB.key /nsconfig/ssl/nodeA.secret

  12. Erstellen Sie auf Appliance Aeinen FIPS-Schlüssel, wie unter Erstellen eines FIPS-Schlüssels beschrieben.

  13. Exportieren Sie den FIPS-Schlüssel auf die Festplatte der Appliance, wie unter Exportieren eines FIPS-Schlüssels beschrieben.

  14. Kopieren Sie den FIPS-Schlüssel auf die Festplatte der sekundären Appliance mithilfe eines sicheren Dateiübertragungsdienstprogramms, z. B. SCP.

  15. Importieren Sie auf Appliance Bden FIPS-Schlüssel von der Festplatte in das HSM der Appliance, wie unter Importieren eines vorhandenen FIPS-Schlüsselsbeschrieben.

Konfigurieren von FIPS auf Appliances in einem Hochverfügbarkeits-Setup über die GUI

  1. Navigieren Sie auf der Appliance, die als Quell-Appliance konfiguriert werden soll, zu Traffic Management > SSL > FIPS.
  2. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Info auf SIM aktivieren.
  3. Geben Sie im Dialogfeld SIM für HA-Paar aktivieren im Textfeld Zertifikatdateiname den Dateinamen ein. Der Dateiname muss den Pfad zu dem Speicherort enthalten, an dem das FIPS-Zertifikat auf der Quell-Appliance gespeichert werden muss.
  4. Geben Sie im Textfeld Schlüsselvektordatei den Dateinamen ein. Der Dateiname muss den Pfad zu dem Speicherort enthalten, an dem der FIPS-Schlüsselvektor auf der Quell-Appliance gespeichert werden muss.
  5. Geben Sie im Textfeld Target Secret File Name den Speicherort für die geheimen Daten auf der Ziel-Appliance ein.
  6. Geben Sie im Textfeld Name der geheimen Quelldatei den Speicherort für die geheimen Daten auf der Quell-Appliance ein.
  7. Geben Sie unter Anmeldeinformationen für sekundäre Systemanmeldeinformationendie Werte für Benutzername und Kennwort ein.
  8. Klicken Sie auf OK. Die FIPS-Appliances sind jetzt im HA-Modus konfiguriert.

Hinweis: Nachdem Sie die Appliances in HA konfiguriert haben, erstellen Sie einen FIPS-Schlüssel, wie unter beschriebenErstellen eines FIPS-Schlüssels. Der FIPS-Schlüssel wird automatisch vom primären zur sekundären Appliance übertragen.

Konfigurieren von FIPS auf Appliances in einer Hochverfügbarkeitseinrichtung