Citrix ADC

Erstellen eines FIPS-Schlüssels für eine Instanz auf einer SDX 14030/14060/14080 FIPS-Einheit

August 19, 2021

Beitrag von:

Sie können einen FIPS-Schlüssel auf Ihrer Instanz erstellen oder einen vorhandenen FIPS-Schlüssel in die Instanz importieren. Eine SDX 14030/14060/14080 FIPS-Einheit unterstützt nur 2048-Bit- und 3072-Bit-Schlüssel und einen Exponentenwert von F4. Für PEM-Schlüssel ist kein Exponent erforderlich. Stellen Sie sicher, dass der FIPS-Schlüssel korrekt erstellt wurde. Erstellen Sie eine Zertifikatsignaturanforderung und ein Serverzertifikat. Fügen Sie schließlich der Instanz das Zertifikatschlüsselpaar hinzu.

Hinweis:

1024-Bit- und 4096-Bit-Schlüssel und ein Exponentenwert von 3 werden nicht unterstützt.

Erstellen eines FIPS-Schlüssels mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

create ssl fipsKey <fipsKeyName> -keytype ( RSA | ECDSA ) [-exponent (3 | F4 )] [-modulus <positive_integer>] [-curve ( P_256 | P_384 )]
<!--NeedCopy-->

Beispiel:

create fipsKey f1 -keytype RSA -modulus 2048 -exponent F4

Done

show ssl fipskey ddvws

FIPS Key Name: f1  Key Type: RSA Modulus: 2048   Public Exponent: F4 (Hex: 0x10001)

Done
<!--NeedCopy-->

Importieren eines FIPS-Schlüssels mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

import ssl fipsKey <fipsKeyName> -key <string> [-inform <inform>] [-wrapKeyName <string>] [-iv<string>] [-exponent F4 ]
<!--NeedCopy-->

Beispiel:

import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform SIM -exponent F4
Done
import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform PEM
Done
<!--NeedCopy-->

Überprüfen Sie, ob der FIPS-Schlüssel korrekt erstellt oder importiert wurde, indem Sie den Befehl show fipskey ausführen.

show fipskey
1)      FIPS Key Name: Key-FIPS-2
Done
<!--NeedCopy-->

Erstellen einer Zertifikatsignaturanforderung mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

create ssl certReq <reqFile> (-keyFile <input_filename> | -fipsKeyName <string>) [-keyform ( DER | PEM )  {-PEMPassPhrase }] -countryName <string> -stateName <string> -organizationName<string> [-organizationUnitName <string>] [-localityName <string>] [-commonName <string>] [-emailAddress <string>] {-challengePassword } [-companyName <string>] [-digestMethod ( SHA1 | SHA256 )]
<!--NeedCopy-->

Beispiel:

create certreq f1.req –fipsKeyName f1 -countryName US -stateName CA -organizationName Citrix -companyName Citrix -commonName ctx -emailAddress test@example.com`
`Done
<!--NeedCopy-->

Erstellen eines Serverzertifikats mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

create ssl cert <certFile> <reqFile> <certType> [-keyFile <input_filename>] [-keyform ( DER | PEM ) {-PEMPassPhrase }] [-days <positive_integer>] [-certForm ( DER | PEM )] [-CAcert <input_filename>] [-CAcertForm ( DER | PEM )] [-CAkey <input_filename>] [-CAkeyForm ( DER | PEM )] [-CAserial <output_filename>]
<!--NeedCopy-->

Beispiel:

create cert f1.cert f1.req SRVR_CERT -CAcert ns-root.cert -CAkey ns-root.key -CAserial ns-root.srl -days 1000
Done
<!--NeedCopy-->

Im vorangegangenen Beispiel wird ein Serverzertifikat mit einer lokalen Stammzertifizierungsstelle auf der Appliance erstellt.

Hinzufügen eines Zertifikatschlüsselpaars mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add ssl certKey <certkeyName> (-cert <string> [-password]) [-key <string> | -fipsKey <string> | -hsmKey <string>] [-inform <inform>] [-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod   <positive_integer>]] [-bundle ( YES | NO )]
<!--NeedCopy-->

Beispiel:

add certkey cert1 -cert f1.cert -fipsKey f1
Done
<!--NeedCopy-->

Nach dem Erstellen des FIPS-Schlüssels und des Serverzertifikats können Sie die generische SSL-Konfiguration hinzufügen. Aktivieren Sie die Funktionen, die für Ihre Bereitstellung erforderlich sind. Fügen Sie Server, Dienste und virtuelle SSL-Server hinzu. Binden Sie das Zertifikatschlüsselpaar und den Dienst an den virtuellen SSL-Server, und speichern Sie die Konfiguration.

enable ns feature SSL LB
Done
add server s1 10.217.2.5
Done
add service sr1 s1 HTTP 80
Done
add lb vserver v1 SSL 10.217.2.172 443
Done
bind ssl vserver v1 –certkeyName cert1
Done
bind lb vserver v1 sr1
Done
saveconfig
Done
<!--NeedCopy-->

Weitere Informationen zum Konfigurieren von sicherem HTTPS und sicherem RPC finden Sie hier.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Citrix Dokumentation maschinell übersetzt. Citrix hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Citrix Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Citrix gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Citrix kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

Erstellen eines FIPS-Schlüssels für eine Instanz auf einer SDX 14030/14060/14080 FIPS-Einheit

August 19, 2021

Beitrag von:

August 19, 2021

Beitrag von:

In diesem Artikel

Erstellen eines FIPS-Schlüssels mit der CLI
Importieren eines FIPS-Schlüssels mit der CLI
Erstellen einer Zertifikatsignaturanforderung mit der CLI
Erstellen eines Serverzertifikats mit der CLI
Hinzufügen eines Zertifikatschlüsselpaars mit der CLI

War dieser Artikel hilfreich?