Aktualisieren Sie die Firmware auf Version 2.2 auf einer FIPS-Karte

Die FIPS Firmware Version 2.2 unterstützt die TLS-Protokoll-Versionen 1.1 und 1.2. Über die Befehlszeile können Sie die Firmware-Version der FIPS-Karte einer Citrix ADC MPX 9700/10500/12500/15500 FIPS Appliance von Version 1.1 auf Version 2.2 aktualisieren.

Für eine erfolgreiche SIM-Key-Weitergabe von primären zu sekundären in einem High Availability (HA) -Paar muss die Cavium-Firmware-Version auf jeder Appliance identisch sein. Führen Sie zuerst das Firmware-Update auf der sekundären Appliance durch. Wenn zuerst auf der primären Appliance ausgeführt wird, verursacht der lang laufende Update-Prozess ein Failover.

Einschränkungen

  • Sichere Neuverhandlungen werden nur auf virtuellen SSL-Servern und Front-End-SSL-Diensten unterstützt.
  • Das Erstellen einer Zertifikatsignaturanforderung mithilfe eines Schlüssels, der auf Firmware-Version 1.1 erstellt und auf Firmware-Version 2.2 aktualisiert wurde, schlägt fehl.
  • Sie können keinen 1024-Bit-RSA-Schlüssel auf der Firmware-Version 2.2 erstellen. Wenn Sie jedoch einen 1024-Bit-FIPS-Schlüssel auf Firmware-Version 1.1 importiert oder erstellt haben und dann auf Firmware-Version 2.2 aktualisieren, können Sie diesen FIPS-Schlüssel auf Firmware-Version 2.2 verwenden.
  • Es werden nur 2048-Bit-RSA-Schlüssel unterstützt.
  • Das 4096-Bit-Clientzertifikat wird nicht unterstützt (wenn die Clientauthentifizierung auf dem Back-End-Server aktiviert ist).

  • Sichere Neuverhandlung mit dem SSLv3-Protokoll wird nicht unterstützt.
  • Nach dem Upgrade der Firmware sind TLSv1.1 und TLSv1.2 standardmäßig auf den vorhandenen virtuellen Server, internen Diensten, Front-End- und Back-End-Diensten deaktiviert. Um TLS 1.1/1.2 zu verwenden, müssen Sie diese Protokolle explizit auf den SSL-Entitäten nach dem Upgrade aktivieren.
  • FIPS-Schlüssel, die in der Firmware-Version 2.2 erstellt werden, sind nicht verfügbar, wenn Sie die Firmware auf Version 1.1 herunterstufen.

Voraussetzungen

Laden Sie die folgenden Dateien von der Download-Seite auf www.citrix.com herunter. Die Dateien müssen im Verzeichnis /var/nsinstall auf der Appliance gespeichert werden.

  • FW 2.2 Datei: FW-2.2-130013
  • FW 2.2 Signaturdatei: FW-2.2-130013.sign

FW-2.2-130013 ist die empfohlene Firmware-Version. Es enthält Fixes, um DRBG zu verbessern.

Aktualisieren der FIPS-Firmware auf Version 2.2 auf einer eigenständigen Appliance

  1. Melden Sie sich mit den Administratoranmeldeinformationen bei der Appliance an.

  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um zu bestätigen, dass die FIPS-Karte initialisiert wurde.

    show fips
    
    FIPS HSM Info:
    HSM Label       : Citrix ADC FIPS
    Initialization      : FIPS-140-2 Level-2
    HSM Serial Number   : 3.0G1235-ICM000264
    HSM State       : 2
    HSM Model       : NITROX XL CN1620-NFBE
    
    Hardware Version    : 2.0-G
    Firmware Version    : 1.1
    Firmware Release Date   : Jun04,2010
    
    Max FIPS Key Memory : 3996
    Free FIPS Key Memory    : 3992
    Total SRAM Memory   : 467348
    Free SRAM Memory    : 62512
    Total Crypto Cores  : 3
    Enabled Crypto Cores    : 1
    Done
    
  3. Speichern Sie die Konfiguration. Geben Sie an der Eingabeaufforderung Folgendes ein:

    save config
    
  4. Führen Sie das Update durch. Geben Sie an der Eingabeaufforderung Folgendes ein:

    update ssl fips -fipsFW <path to the extracted contents>/CN16XX-NFBE-FW-2.2-1300013
    

    Drücken Sie Y, wenn die folgende Eingabeaufforderung angezeigt wird:

    This command will update compatible version of the FIPS firmware.  You must save the current configuration (saveconfig) before executing this command. You must reboot the system after execution of this command, for the firmware update to take effect. Do you want to continue?(Y/N)Y
    
    Done
    

Hinweis: Sie müssen nur die Firmware-Datei angeben, da die Firmware-Signaturdatei am selben Speicherort abgelegt wird.

Das Update dauert bis zu 10 Sekunden. Der Befehl update blockiert, was bedeutet, dass keine weiteren Aktionen ausgeführt werden, bis der Befehl beendet ist. Die Eingabeaufforderung wird erneut angezeigt, wenn die Ausführung des Befehls abgeschlossen ist.

  1. Starten Sie die Appliance neu. Geben Sie an der Eingabeaufforderung Folgendes ein:

    reboot
    
    Are you sure you want to restart NetScaler (Y/N)? [N]:Y
    
  2. Stellen Sie sicher, dass das Update erfolgreich ist. Geben Sie an der Eingabeaufforderung Folgendes ein:

    show fips
    

    Die in der Ausgabe angezeigte Firmware-Version muss 2.2 sein. Zum Beispiel:

    sh fips
        FIPS HSM Info:
            HSM Label       : Citrix ADC FIPS
            Initialization      : FIPS-140-2 Level-2
            HSM Serial Number   : 2.1G1207-IC002429
            HSM State       : 2
            HSM Model       : NITROX XL CN1620-NFBE
    
            Hardware Version    : 2.0-G
            Firmware Version    : 2.2
            Firmware Build         : NFBE-FW-2.2-130013
            Max FIPS Key Memory : 3996
            Free FIPS Key Memory    : 3982
            Total SRAM Memory   : 467348
            Free SRAM Memory    : 50472
            Total Crypto Cores  : 3
            Enabled Crypto Cores    : 1
    Done
    

Aktualisieren der FIPS-Firmware auf Version 2.2 auf Appliances in einem Hochverfügbarkeitspaar

  1. Melden Sie sich am sekundären Knoten an und führen Sie das Update wie unter Aktualisieren der FIPS-Firmware auf Version 2.2 auf einer eigenständigen Appliance beschrieben durch.

    Erzwingen Sie, dass der sekundäre Knoten primär wird. Geben Sie an der Eingabeaufforderung Folgendes ein:

    force failover
    

    Drücken Sie Y an der Bestätigungsaufforderung.

  2. Melden Sie sich am neuen sekundären Knoten (alter primärer Knoten) an, und führen Sie das Update wie unter Aktualisieren der FIPS-Firmware auf Version 2.2 auf einer eigenständigen Appliance beschrieben durch.

  3. Erzwingen Sie, dass der neue sekundäre Knoten wieder primär wird. Geben Sie an der Eingabeaufforderung Folgendes ein:

    force failover
    

    Drücken Sie Y an der Bestätigungsaufforderung.

Aktualisieren der FIPS-Firmware auf Version 1.1 auf einer eigenständigen Appliance

  1. Laden Sie die Dateien nfb_firmware-r1235_100604 und nfb_firmware-r1235_100604.sign auf der Download-Seite auf www.citrix.com in dasselbe Verzeichnis auf der Appliance herunter.

  2. Melden Sie sich mit den Administratoranmeldeinformationen bei der Appliance an.

  3. Geben Sie an der Eingabeaufforderung Folgendes ein:

    update ssl fips -fipsFW /<full path to the file>/nfb_firmware-r1235_100604