Citrix ADC

Konfigurieren Sie zum ersten Mal eine FIPS-Appliance

Hinweis

Für den HTTPS-Zugriff auf das Konfigurationsdienstprogramm und für sichere Remoteprozeduraufrufe ist ein Zertifikatsschlüsselpaar erforderlich. RPC-Knoten sind interne Systementitäten, die für die System-zu-System-Kommunikation von Konfigurations- und Sitzungsinformationen verwendet werden. Auf jeder Appliance ist ein RPC-Knoten vorhanden. Dieser Knoten speichert das Kennwort, das mit dem vom kontaktierenden Gerät bereitgestellten abgeglichen wird. Für die Kommunikation mit anderen Citrix ADC Appliances benötigt jede Appliance Kenntnisse der anderen Appliances, einschließlich der Authentifizierung auf der anderen Appliance. RPC-Knoten verwalten diese Informationen, einschließlich der IP-Adressen der anderen Citrix ADC Appliances und der Kennwörter, die für die Authentifizierung auf den einzelnen Geräten verwendet werden.

Auf einer virtuellen Appliance der Citrix ADC MPX-Appliance ist ein Zertifikatsschlüsselpaar automatisch an die internen Dienste gebunden. Auf einer FIPS-Appliance muss ein Zertifikatsschlüsselpaar in das Hardwaresicherheitsmodul (HSM) einer FIPS-Karte importiert werden. Dazu müssen Sie die FIPS-Karte konfigurieren, ein Zertifikatsschlüsselpaar erstellen und es an die internen Dienste binden.

Konfigurieren Sie sicheres HTTPS mithilfe der CLI

Gehen Sie folgendermaßen vor, um sicheres HTTPS mithilfe der CLI zu konfigurieren

  1. Initialisieren Sie das Hardwaresicherheitsmodul (HSM) auf der FIPS-Karte der Appliance. Informationen zum Initialisieren des HSM finden Sie unter Konfigurieren des HSM.

  2. Wenn die Appliance Teil eines Hochverfügbarkeitssetups ist, aktivieren Sie die SIM. Informationen zum Aktivieren der SIM auf den primären und sekundären Appliances finden Sie unter Konfigurieren von FIPS-Appliances in einem Hochverfügbarkeits-Setup.

  3. Importieren Sie den FIPS-Schlüssel in das HSM der FIPS-Karte der Appliance. Geben Sie an der Eingabeaufforderung Folgendes ein:

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. Fügen Sie ein Zertifikatsschlüsselpaar hinzu. Geben Sie an der Eingabeaufforderung Folgendes ein:

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. Binden Sie den im vorherigen Schritt erstellten Zertifikatsschlüssel an die folgenden internen Dienste. Geben Sie an der Eingabeaufforderung Folgendes ein:

    bind ssl service nshttps-127.0.0.1-443 -certkeyname server

    bind ssl service nshttps-::11-443 -certkeyname server

Konfigurieren Sie sicheres HTTPS mithilfe der GUI

Gehen Sie folgendermaßen vor, um sicheres HTTPS mithilfe der GUI zu konfigurieren:

  1. Initialisieren Sie das Hardwaresicherheitsmodul (HSM) auf der FIPS-Karte der Appliance. Informationen zum Initialisieren des HSM finden Sie unter Konfigurieren des HSM.

  2. Wenn die Appliance Teil eines Hochverfügbarkeitssetups ist, aktivieren Sie das Secure Information System (SIM). Informationen zum Aktivieren der SIM auf den primären und sekundären Appliances finden Sie unter Konfigurieren von FIPS-Appliances in einem Hochverfügbarkeits-Setup.
  3. Importieren Sie den FIPS-Schlüssel in das HSM der FIPS-Karte der Appliance. Weitere Informationen zum Importieren eines FIPS-Schlüssels finden Sie im Abschnitt Importieren eines vorhandenen FIPS-Schlüssels .
  4. Navigieren Sie zu Traffic Management > SSL > Zertifikate.
  5. Klicken Sie im Detailbereich auf Installieren.
  6. Geben Sie im Dialogfeld Zertifikat installieren die Zertifikatsdetails ein.
  7. Klicken Sie auf Erstellen und dann auf Schließen.
  8. Navigieren Sie zu Traffic Management > Load Balancing > Services.
  9. Klicken Sie im Detailbereich auf der Registerkarte Aktion auf Interne Dienste.
  10. Wählen Sie nshttps-127.0.0.1-443 aus der Liste aus, und klicken Sie dann auf Öffnen.
  11. Wählen Sie auf der Registerkarte SSL-Einstellungen im Bereich Verfügbar das in Schritt 7 erstellte Zertifikat aus, klicken Sie auf Hinzufügen, und klicken Sie dann auf OK.
  12. Wählen Sie nshttps-::11-443 aus der Liste aus, und klicken Sie dann auf Öffnen.
  13. Wählen Sie auf der Registerkarte SSL-Einstellungen im Bereich Verfügbar das in Schritt 7 erstellte Zertifikat aus, klicken Sie auf Hinzufügen, und klicken Sie dann auf OK.
  14. Klicken Sie auf OK.

Konfigurieren von sicherem RPC mithilfe der CLI

Gehen Sie folgendermaßen vor, um sicheres RPC mithilfe der CLI zu konfigurieren:

  1. Initialisieren Sie das Hardwaresicherheitsmodul (HSM) auf der FIPS-Karte der Appliance. Informationen zum Initialisieren des HSM finden Sie unter Konfigurieren des HSM.

  2. Aktivieren Sie das sichere Informationssystem (SIM). Informationen zum Aktivieren der SIM auf den primären und sekundären Appliances finden Sie unter Konfigurieren von FIPS-Appliances in einem Hochverfügbarkeits-Setup.

  3. Importieren Sie den FIPS-Schlüssel in das HSM der FIPS-Karte der Appliance. Geben Sie an der Eingabeaufforderung Folgendes ein:

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. Fügen Sie ein Zertifikatsschlüsselpaar hinzu. Geben Sie an der Eingabeaufforderung Folgendes ein:

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. Binden Sie das Zertifikatsschlüsselpaar an die folgenden internen Dienste. Geben Sie an der Eingabeaufforderung Folgendes ein:

    bind ssl service nsrpcs-127.0.0.1-3008 -certkeyname server

    bind ssl service nskrpcs-127.0.0.1-3009 -certkeyname server

    bind ssl service nsrpcs-::1l-3008 -certkeyname server

  6. Aktivieren Sie den sicheren RPC-Modus. Geben Sie an der Eingabeaufforderung Folgendes ein:

    set ns rpcnode \<IP address\> -secure YES

    Weitere Informationen zum Ändern eines RPC-Knotenkennworts finden Sie unter Ändern eines RPC-Knotenkennworts.

Konfigurieren Sie sicheren RPC über die GUI

Gehen Sie folgendermaßen vor, um sicheren RPC mithilfe der GUI zu konfigurieren:

  1. Initialisieren Sie das Hardwaresicherheitsmodul (HSM) auf der FIPS-Karte der Appliance. Informationen zum Initialisieren des HSM finden Sie unter Konfigurieren des HSM.
  2. Aktivieren Sie das sichere Informationssystem (SIM). Informationen zum Aktivieren der SIM auf den primären und sekundären Appliances finden Sie unter Konfigurieren Sie FIPS-Appliances in einem Hochverfügbarkeits-Setup.
  3. Importieren Sie den FIPS-Schlüssel in das HSM der FIPS-Karte der Appliance. Weitere Informationen zum Importieren eines FIPS-Schlüssels finden Sie im Abschnitt Bestehenden FIPS-Schlüssel importieren .
  4. Navigieren Sie zu Traffic Management > SSL > Zertifikate.
  5. Klicken Sie im Detailbereich auf Installieren.
  6. Geben Sie im Dialogfeld Zertifikat installieren die Zertifikatsdetails ein.
  7. Klicken Sie auf Erstellen und dann auf Schließen.
  8. Navigieren Sie zu Traffic Management > Load Balancing > Services.
  9. Klicken Sie im Detailbereich auf der Registerkarte Aktion auf Interne Dienste.
  10. Wählen Sie in der Liste nsrpcs-127.0.0.1-3008 aus der Liste aus, und klicken Sie dann auf Öffnen.
  11. Wählen Sie auf der Registerkarte SSL-Einstellungen im Bereich Verfügbar das in Schritt 7 erstellte Zertifikat aus, klicken Sie auf Hinzufügen, und klicken Sie dann auf OK.
  12. Wählen Sie in der Liste nskrpcs-127.0.0.1-3009 aus, und klicken Sie dann auf Öffnen.
  13. Wählen Sie auf der Registerkarte SSL-Einstellungen im Bereich Verfügbar das in Schritt 7 erstellte Zertifikat aus, klicken Sie auf Hinzufügen, und klicken Sie dann auf OK.
  14. Wählen Sie nsrpcs-::11-3008 aus der Liste aus, und klicken Sie dann auf Öffnen.
  15. Wählen Sie auf der Registerkarte SSL-Einstellungen im Bereich Verfügbar das in Schritt 7 erstellte Zertifikat aus, klicken Sie auf Hinzufügen, und klicken Sie dann auf OK.
  16. Klicken Sie auf OK.
  17. Navigieren Sie zu System > Netzwerk > RPC.
  18. Wählen Sie im Detailbereich die IP-Adresse aus, und klicken Sie auf Öffnen.
  19. Wählen Sie im Dialogfeld RPC-Knoten konfigurieren die Option Sicher aus.
  20. Klicken Sie auf OK.
Konfigurieren Sie zum ersten Mal eine FIPS-Appliance