FIPS-Appliances in einem Hochverfügbarkeits-Setup konfigurieren

Sie können zwei Appliances in einem High Availability (HA) -Paar als FIPS-Appliances konfigurieren. Hinweise zum Konfigurieren eines HA-Setups finden Sie unter Hohe Verfügbarkeit.

Hinweis: Citrix empfiehlt die Verwendung des Konfigurationsdienstprogramms (GUI) für dieses Verfahren. Wenn Sie die Befehlszeile (CLI) verwenden, stellen Sie sicher, dass Sie die im Verfahren aufgeführten Schritte sorgfältig ausführen. Das Ändern der Reihenfolge der Schritte oder das Angeben einer falschen Eingabedatei kann zu Inkonsistenz führen, die einen Neustart der Appliance erfordert. Wenn Sie die CLI verwenden, wird der Befehl create ssl fipskey nicht an den sekundären Knoten weitergegeben. Wenn Sie den Befehl mit den gleichen Eingabewerten für Modulgröße und Exponent auf zwei verschiedenen FIPS-Appliances ausführen, sind die generierten Schlüssel nicht identisch. Sie müssen den FIPS-Schlüssel auf einem der Knoten erstellen und dann auf den anderen Knoten übertragen. Wenn Sie jedoch das Konfigurationsdienstprogramm verwenden, um FIPS-Appliances in einem HA-Setup zu konfigurieren, wird der von Ihnen erstellte FIPS-Schlüssel automatisch an den sekundären Knoten übertragen. Der Prozess der Verwaltung und Übertragung der FIPS-Schlüssel wird als Secure Information Management (SIM) bezeichnet.

Wichtig: Bei den MPX 9700/10500/12500/15500 FIPS-Appliances sollte die HA-Setup innerhalb von sechs Minuten abgeschlossen sein. Wenn der Prozess länger als sechs Minuten dauert, läuft der interne Timer der FIPS-Karte ab und die folgende Fehlermeldung wird angezeigt:

FEHLER: Zeitüberschreitung oder Wiederholung des Vorgangs. Warten Sie 10 Minuten und wiederholen Sie die SIM/HA-Konfigurationsschritte.

Wenn diese Meldung angezeigt wird, starten Sie die Appliance neu oder warten Sie 10 Minuten, und wiederholen Sie dann den HA-Setup-Vorgang.

Im folgenden Verfahren ist Appliance A der primäre Knoten und Appliance B der sekundäre Knoten.

Konfigurieren von FIPS-Appliances in einem Hochverfügbarkeits-Setup mit der CLI

  1. Öffnen Sie auf Appliance A eine SSH-Verbindung zur Appliance mithilfe eines SSH-Clients, z. B. PuTTY.

  2. Melden Sie sich mit den Administratoranmeldeinformationen bei der Appliance an.

  3. Initialisieren Sie Appliance A als Quell-Appliance. Geben Sie an der Eingabeaufforderung Folgendes ein:

    init ssl fipsSIMsource <certFile>
    
  4. Kopieren Sie diese<certFile> Datei in Appliance B im Ordner /nconfig/ssl.

  5. Öffnen Sie auf Appliance B eine SSH-Verbindung zur Appliance mithilfe eines SSH-Clients, z. B. PuTTY.

  6. Melden Sie sich mit den Administratoranmeldeinformationen bei der Appliance an.

  7. Initialisieren Sie Appliance B als Ziel-Appliance. Geben Sie an der Eingabeaufforderung Folgendes ein:

    init ssl fipsSIMtarget <certFile> <keyVector> <targetSecret>
    
  8. Kopieren Sie diese<targetSecret> Datei in Appliance A.

  9. Aktivieren Sie auf Appliance A die Appliance A als Quell-Appliance. Geben Sie an der Eingabeaufforderung Folgendes ein:

    enable ssl fipsSIMSource <targetSecret> <sourceSecret>
    
  10. Kopieren Sie diese<sourceSecret> Datei in Appliance B.

  11. Aktivieren Sie auf Appliance B die Appliance B als Ziel-Appliance. Geben Sie an der Eingabeaufforderung Folgendes ein:

    enable ssl fipsSIMtarget <keyVector> <sourceSecret>
    
  12. Erstellen Sie auf Appliance Aeinen FIPS-Schlüssel, wie unter Erstellen eines FIPS-Schlüssels beschrieben.

  13. Exportieren Sie den FIPS-Schlüssel auf die Festplatte der Appliance, wie unter Exportieren eines FIPS-Schlüssels beschrieben.

  14. Kopieren Sie den FIPS-Schlüssel auf die Festplatte der sekundären Appliance mithilfe eines sicheren Dateiübertragungsdienstprogramms, z. B. SCP.

  15. Importieren Sie auf Appliance B den FIPS-Schlüssel von der Festplatte in das HSM der Appliance, wie unter Importieren eines vorhandenen FIPS-Schlüssels beschrieben.

Konfigurieren von FIPS-Appliances in einem Hochverfügbarkeits-Setup mit der GUI

  1. Navigieren Sie auf der Appliance, die als Quell-Appliance konfiguriert werden soll, zu Verkehrsverwaltung > SSL > FIPS.
  2. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Info auf SIM aktivieren.
  3. Geben Sie im Dialogfeld HA-Paar für SIM aktivieren im Textfeld Zertifikatdateiname den Dateinamen mit dem Pfad zu dem Speicherort ein, an dem das FIPS-Zertifikat auf der Quell-Appliance gespeichert werden soll.
  4. Geben Sie im Textfeld Schlüsselvektordateiname den Dateinamen mit dem Pfad zu dem Speicherort ein, an dem der FIPS-Schlüsselvektor auf der Quell-Appliance gespeichert werden soll.
  5. Geben Sie im Textfeld Geheimer Zieldateiname den Speicherort für die geheimen Daten auf der Ziel-Appliance ein.
  6. Geben Sie im Textfeld Geheimdateiname der Quelle den Speicherort für die geheimen Daten auf der Quell-Appliance ein.
  7. Klicken Sie auf OK. Die FIPS-Appliances sind jetzt im HA-Modus konfiguriert.
  8. Erstellen Sie einen FIPS-Schlüssel, wie unter Erstellen eines FIPS-Schlüssels beschrieben. Der FIPS-Schlüssel wird automatisch vom primären zum sekundären übertragen.

Das folgende Diagramm fasst den Übertragungsprozess zusammen.

Abbildung 1. Übertragen der FIPS-Schlüsselübersicht

sim-process-detail