Citrix ADC

MPX 9700/10500/12500/15500 FIPS-Geräte

Der Federal Information Processing Standard (FIPS), ausgestellt vom US National Institute of Standards and Technologies, legt die Sicherheitsanforderungen für ein kryptografisches Modul fest, das in einem Sicherheitssystem verwendet wird. Die Citrix ADC FIPS-Appliance erfüllt die zweite Version dieses Standards, FIPS-140-2.

Hinweis: Alle Verweise auf FIPS implizieren fortan FIPS-140-2.

Die FIPS-Appliance ist mit einem manipulationssicheren (manipulationssicheren) Kryptografie-Modul und einem Cavium CN1620-NFBE3-2.0-G der MPX 9700/10500/12500/15500 FIPS Appliances ausgestattet, die den FIPS 140-2 Level-2-Spezifikationen entsprechen. Die kritischen Sicherheitsparameter (CSPs), in erster Linie der private Schlüssel des Servers, werden sicher im kryptografischen Modul gespeichert und generiert, auch als Hardwaresicherheitsmodul (HSM) bezeichnet. Auf die CSPs wird niemals außerhalb der Grenzen des HSM zugegriffen. Nur der Superuser kann Operationen an den im HSM gespeicherten Schlüsseln ausführen.

In der folgenden Tabelle werden die Unterschiede zwischen Standard-Citrix ADC und Citrix ADC FIPS-Appliances zusammengefasst.

Einstellung Citrix ADC Appliance Citrix ADC FIPS-Appliance
Schlüsselspeicher Auf der Festplatte Auf der FIPS-Karte
Verschlüsselungsunterstützung Alle Chiffre FIPS-zugelassene Chiffre
Zugriff auf Schlüssel Von der Festplatte Nicht zugänglich

Die Konfiguration einer FIPS-Appliance beinhaltet die Konfiguration des HSM unmittelbar nach Abschluss des generischen Konfigurationsprozesses. Anschließend erstellen oder importieren Sie einen FIPS-Schlüssel. Nachdem Sie einen FIPS-Schlüssel erstellt haben, müssen Sie ihn zur Sicherung exportieren. Möglicherweise müssen Sie auch einen FIPS-Schlüssel exportieren, damit Sie ihn in eine andere Appliance importieren können. Zum Beispiel erfordert die Konfiguration von FIPS-Appliances in einem HA-Setup die Übertragung des FIPS-Schlüssels vom primären Knoten auf den sekundären Knoten unmittelbar nach Abschluss des Standard-HA-Setups.

Sie können die Firmware-Version auf der FIPS-Karte von Version 4.6.0 auf 4.6.1 aktualisieren. Sie können auch ein HSM zurücksetzen, das gesperrt wurde, um eine unbefugte Anmeldung zu verhindern. Auf einer Citrix ADC FIPS-Appliance werden nur FIPS-zugelassene Chiffre unterstützt.

HSM-Konfiguration

Bevor Sie das HSM Ihrer Citrix ADC FIPS-Appliance konfigurieren können, müssen Sie die anfängliche Hardwarekonfiguration abschließen. Weitere Hinweise zu MPX-Appliances finden Sie unterErstkonfiguration. Informationen zu SDX-Appliances erhalten Sie, indem Sie auf klickenhier.

Durch die Konfiguration des HSM Ihrer Citrix ADC FIPS-Appliance werden alle vorhandenen Daten auf dem HSM gelöscht. Um das HSM zu konfigurieren, müssen Sie als Superuser bei der Appliance angemeldet sein. Das HSM ist mit Standardwerten für das Security Officer (SO) Kennwort und das Benutzerkennwort vorkonfiguriert, mit denen Sie das HSM konfigurieren oder ein gesperrtes HSM zurücksetzen. Die maximal zulässige Länge für das Kennwort beträgt 14 alphanumerische Zeichen. Symbole sind nicht zulässig.

Wichtig: Führen Sie den set ssl fips Befehl erst aus, nachdem Sie die FIPS-Karte zum ersten Mal zurückgesetzt und die MPX FIPS-Appliance neu gestartet haben.

Obwohl die FIPS-Appliance mit den Standardkennwortwerten verwendet werden kann, müssen Sie sie vor der Verwendung ändern. Das HSM kann nur konfiguriert werden, wenn Sie sich bei der Appliance als Superuser anmelden und die SO- und Benutzerkennwörter angeben.

Wichtig: Aufgrund von Sicherheitseinschränkungen bietet die Appliance keine Möglichkeit zum Abrufen des SO-Kennworts. Speichern Sie eine Kopie des Kennworts sicher. Wenn Sie das HSM neu initialisieren müssen, müssen Sie dieses Kennwort als altes SO-Kennwort angeben.

Bevor Sie das HSM initialisieren, können Sie auf den neuesten Build der Software upgraden. Informationen zum Upgrade auf den neuesten Build finden Sie unterUpgrade oder Herabstufung der Systemsoftware.

Stellen Sie nach dem Upgrade sicher, dass das /nsconfig/fips Verzeichnis erfolgreich auf der Appliance erstellt wurde.

Konfigurieren Sie das HSM auf der MPX 9700/10500/12500/15500 FIPS-Plattform mit der CLI

Nachdem Sie sich bei der Appliance als Superuser angemeldet und die Erstkonfiguration abgeschlossen haben, geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um das HSM zu konfigurieren und die Konfiguration zu überprüfen:

show ssl fips

reset ssl fips

reboot

set ssl fips -initHSM Level-2 <newSOpassword> <oldSOpassword> <userPassword> [-hsmLabel <string>]

save ns config

reboot

show ssl fips

Beispiel:

show fips

    FIPS Card is not configured
    Done
    reset fips
    reboot
    Are you sure you want to restart NetScaler (Y/N)? [N]:y

    set ssl fips -initHSM Level-2 sopin12345 so12345 user123 -hsmLabel cavium

    This command will erase all data on the FIPS card. You must save the configuration

    (saveconfig) after executing this command.


    Do you want to continue?(Y/N)y
    Done

    save ns config

    reboot

    Are you sure you want to restart NetScaler (Y/N)? [N]:y

    show fips

            FIPS HSM Info:
    HSM Label              : Citrix ADC FIPS
    Initialization         : FIPS-140-2 Level-2
    HSM Serial Number      : 2.1G1008-IC000021
    HSM State              : 2
    HSM Model              : NITROX XL CN1620-NFBE
    Firmware Version       : 1.1
    Firmware Release Date  : Jun04,2010
    Max FIPS Key Memory    : 3996
    Free FIPS Key Memory   : 3994
    Total SRAM Memory      : 467348
    Free SRAM Memory       : 62564
    Total Crypto Cores      : 3
    Enabled Crypto Cores    : 1
    Done

    Note: If you upgrade the firmware to version 2.2, the firmware release date is replaced with the firmware build.



    > show fips

    FIPS HSM Info:

    HSM Label                : Citrix ADC FIPS
    Initialization              : FIPS-140-2 Level-2
    HSM Serial Number    : 3.0G1235-ICM000264
    HSM State                : 2
    HSM Model               : NITROX XL CN1620-NFBE
    Hardware Version       : 2.0-G
    Firmware Version        : 2.2
    Firmware Build           : NFBE-FW-2.2-130009
    Max FIPS Key Memory : 3996
    Free FIPS Key Memory : 3958
    Total SRAM Memory    : 467348
    Free SRAM Memory     : 50524
    Total Crypto Cores      : 3
    Enabled Crypto Cores  : 3
    Done

Konfigurieren Sie das HSM auf der MPX 9700/10500/12500/15500 FIPS-Plattform mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > FIPS.

  2. Klicken Sie im Detailbereich auf der Registerkarte FIPS Infosauf FIPS zurücksetzen.

  3. Klicken Sie im Navigationsbereich auf System.

  4. Klicken Sie im Detailbereich auf Reboot.

  5. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Info auf Initialize HSM.

  6. Geben Sie im Dialogfeld HSM initialisieren Werte für die folgenden Parameter an:

    • Security Officer (SO) Kennwort*- Neues SO-Kennwort
    • Altes SO-Kennwort*-altes SO-Kennwort
    • Benutzerkennwort*- Benutzerkennwort
    • Level - InithSM (momentan auf Level2 eingestellt und kann nicht geändert werden)
    • HSM-Beschriftung - HSMLabel

    * Ein erforderlicher Parameter

  7. Klicken Sie auf OK.

  8. Klicken Sie im Detailbereich auf Speichern.

  9. Klicken Sie im Navigationsbereich auf System.

  10. Klicken Sie im Detailbereich auf Reboot.

  11. Stellen Sie unter FIPS HSM Info sicher, dass die angezeigten Informationen für das von Ihnen konfigurierte FIPS-HSM korrekt sind.

FIPS-Schlüssel erstellen und übertragen

Nachdem Sie das HSM Ihrer FIPS-Appliance konfiguriert haben, können Sie einen FIPS-Schlüssel erstellen. Der FIPS-Schlüssel wird im HSM der Appliance erstellt. Anschließend können Sie den FIPS-Schlüssel als gesichertes Backup auf die CompactFlash-Karte der Appliance exportieren. Wenn Sie den Schlüssel exportieren, können Sie ihn auch übertragen, indem Sie ihn in das /flash einer anderen Appliance kopieren und dann in das HSM dieser Appliance importieren. Aktivieren Sie SIM zwischen zwei Standalone-Knoten, bevor Sie die Schlüssel exportieren und übertragen. Wenn in einem HA-Setup einer der Knoten durch einen neuen ersetzt wird, müssen Sie die folgenden Schritte ausführen:

  1. Aktivieren Sie SIM zwischen dieser neuen Appliance und der vorhandenen Appliance des HA-Setups.
  2. Exportieren oder importieren Sie FIPS-Schlüssel.

Anstatt einen FIPS-Schlüssel zu erstellen, können Sie einen vorhandenen FIPS-Schlüssel importieren oder einen externen Schlüssel als FIPS-Schlüssel importieren. Wenn Sie ein Zertifikatschlüsselpaar von 2048 Bits auf MPX 9700/10500/12500/15500 FIPS-Appliances hinzufügen, stellen Sie sicher, dass Sie über das richtige Zertifikat und das richtige Schlüsselpaar verfügen.

Hinweis: Wenn Sie eine HA-Setup planen, stellen Sie sicher, dass die FIPS-Appliances in einem HA-Setup konfiguriert sind, bevor Sie einen FIPS-Schlüssel erstellen.

FIPS-Schlüssel erstellen

Stellen Sie vor dem Erstellen eines FIPS-Schlüssels sicher, dass der HSM konfiguriert ist.

Geben Sie den Schlüsseltyp (RSA oder ECDSA) an und geben Sie die Kurve für ECDSA-Schlüssel an.

Erstellen eines FIPS-Schlüssels mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > FIPS.
  2. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel auf Hinzufügen.
  3. Geben Sie im Dialogfeld FIPS-Schlüssel erstellen Werte für die folgenden Parameter an:

    • FIPS-Schlüsselname* - FIPSKeyName
    • Modul*-Modul
    • Exponent* - Exponent

    * Ein erforderlicher Parameter

  4. Klicken Sie auf Erstellenund dann auf Schließen.
  5. Vergewissern Sie sich auf der Registerkarte FIPS-Tasten, dass die für den von Ihnen erstellten FIPS-Schlüssel angezeigten Einstellungen korrekt sind.

Erstellen eines FIPS-Schlüssels mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen FIPS-Schlüssel zu erstellen und die Einstellungen zu überprüfen:

create ssl fipsKey <fipsKeyName> -modulus <positive_integer> [-exponent ( 3 | F4 )]

show ssl fipsKey [<fipsKeyName>]

Beispiel:

    create fipskey Key-FIPS-1 -keytype RSA -modulus 2048 -exponent 3

    show ssl fipsKey Key-FIPS-1

                FIPS Key Name: Key-FIPS-1 Key Type: RSA Modulus: 2048   Public Exponent: F4 (Hex: 0x10001)

FIPS-Schlüssel exportieren

Citrix empfiehlt, ein Backup eines Schlüssels zu erstellen, der im FIPS HSM erstellt wurde. Wenn ein Schlüssel im HSM gelöscht wird, gibt es keine Möglichkeit, denselben Schlüssel erneut zu erstellen, und alle damit verbundenen Zertifikate werden nutzlos gerendert.

Zusätzlich zum Exportieren eines Schlüssels als Backup müssen Sie möglicherweise einen Schlüssel für die Übertragung auf eine andere Appliance exportieren.

Das folgende Verfahren enthält Anweisungen zum Exportieren eines FIPS-Schlüssels in den /nsconfig/ssl Ordner auf dem CompactFlash der Appliance und zum Sichern des exportierten Schlüssels mithilfe einer starken asymmetrischen Schlüsselverschlüsselungsmethode.

Exportieren eines FIPS-Schlüssels mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

export ssl fipsKey <fipsKeyName> -key <string>

Beispiel:

export fipskey Key-FIPS-1 -key Key-FIPS-1.key

Exportieren eines FIPS-Schlüssels mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > FIPS.

  2. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Keys auf Exportieren.

  3. Geben Sie im Dialogfeld FIPS-Schlüssel in eine Datei exportieren Werte für die folgenden Parameter an:

    • FIPS-Schlüsselname* - FIPSKeyName
    • Dateiname* - Schlüssel (Um die Datei an einem anderen Speicherort als dem Standardspeicherort zu platzieren, können Sie entweder den vollständigen Pfad angeben oder auf die Schaltfläche Durchsuchen klicken und zu einem Speicherort navigieren.)

    * Ein erforderlicher Parameter

  4. Klicken Sie auf Exportierenund dann auf Schließen.

Importieren eines vorhandenen FIPS-Schlüssels

Um einen vorhandenen FIPS-Schlüssel mit Ihrer FIPS-Appliance zu verwenden, müssen Sie den FIPS-Schlüssel von der Festplatte der Appliance in das HSM übertragen.

Hinweis: Um Fehler beim Importieren eines FIPS-Schlüssels zu vermeiden, stellen Sie sicher, dass der Name des importierten Schlüssels mit dem ursprünglichen Schlüsselnamen übereinstimmt, wenn er erstellt wurde.

Importieren eines FIPS-Schlüssels auf MPX 9700/10500/12500/15500 FIPS-Appliances mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen FIPS-Schlüssel zu importieren und die Einstellungen zu überprüfen:

-  import ssl fipsKey <fipsKeyName> -key <string> -inform SIM -exponent (F4 | 3)
-  show ssl fipskey <fipsKeyName>

Beispiel:

import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform SIM -exponent F4
show ssl fipskey key-FIPS-2
FIPS Key Name: Key-FIPS-2 Modulus: 2048   Public Exponent: F4 (Hex value 0x10001)

Importieren eines FIPS-Schlüssels mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > FIPS.

  2. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel auf Importieren.

  3. Wählen Sie im Dialogfeld Als FIPS-Schlüssel importieren die Option FIPS-Schlüsseldatei aus, und legen Sie Werte für die folgenden Parameter fest:

    • FIPS-Schlüsselname*
    • Schlüsseldateiname* - Um die Datei an einem anderen Speicherort als dem Standardspeicherort zu platzieren, können Sie entweder den vollständigen Pfad angeben oder auf Durchsuchen klicken und zu einem Speicherort navigieren.
    • Exponent*

    * Ein erforderlicher Parameter

  4. Klicken Sie auf Importierenund dann auf Schließen.

  5. Vergewissern Sie sich auf der Registerkarte FIPS-Tasten, dass die für den importierten FIPS-Schlüssel angezeigten Einstellungen korrekt sind.

Importieren eines externen Schlüssels

Sie können FIPS-Schlüssel übertragen, die im HSM der Citrix ADC Appliance erstellt wurden. Sie können auch externe private Schlüssel (wie Schlüssel, die mit einem Standard-Citrix ADC, Apache oder IIS erstellt wurden) auf eine Citrix ADC FIPS-Appliance übertragen. Externe Schlüssel werden außerhalb des HSM mit einem Werkzeug wie OpenSSL erstellt. Bevor Sie einen externen Schlüssel in das HSM importieren, kopieren Sie ihn auf das Flash-Laufwerk der Appliance unter /nsconfig/ssl.

Bei den MPX 9700/10500/12500/15500 FIPS-Appliances ist der Parameter -exponent im import ssl fipskey Befehl beim Importieren eines externen Schlüssels nicht erforderlich. Der richtige öffentliche Exponent wird automatisch erkannt, wenn der Schlüssel importiert wird, und der Wert des -exponent-Parameters wird ignoriert.

Die Citrix ADC FIPS-Appliance unterstützt keine externen Schlüssel mit einem anderen öffentlichen Exponenten als 3 oder F4.

Sie benötigen keinen Wrap Schlüssel für MPX 9700/10500/12500/15500 FIPS-Appliances.

Sie können einen externen, verschlüsselten FIPS-Schlüssel nicht direkt in eine MPX 9700/10500/12500/15500 FIPS-Appliance importieren. Um den Schlüssel zu importieren, müssen Sie zuerst den Schlüssel entschlüsseln und dann importieren. Um den Schlüssel zu entschlüsseln, geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

openssl rsa -in <EncryptedKey.key> > <DecryptedKey.out>

Hinweis: Wenn Sie einen RSA-Schlüssel als FIPS-Schlüssel importieren, empfiehlt Citrix, den RSA-Schlüssel aus Sicherheitsgründen aus der Appliance zu löschen.

Importieren eines externen Schlüssels als FIPS-Schlüssel in eine MPX 9700/10500/12500/15500 FIPS-Appliance mit der CLI

  1. Kopieren Sie den externen Schlüssel auf das Flash-Laufwerk der Appliance.
  2. Wenn der Schlüssel im PFX-Format ist, müssen Sie ihn zuerst in das PEM-Format konvertieren. Geben Sie an der Eingabeaufforderung Folgendes ein:

    convert ssl pkcs12 <output file> -import -pkcs12File <input .pfx file name> -password <password>
    
  3. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um den externen Schlüssel als FIPS-Schlüssel zu importieren und die Einstellungen zu überprüfen:

    import ssl fipsKey <fipsKeyName> -key <string> -informPEM
    show ssl fipskey<fipsKeyName>
    

Beispiel:

convert ssl pkcs12 iis.pem -password 123456 -import -pkcs12File iis.pfx

import fipskey Key-FIPS-2 -key iis.pem -inform PEM

show ssl fipskey key-FIPS-2

FIPS Key Name: Key-FIPS-2 Modulus: 0   Public Exponent: F4 (Hex value 0x10001)

Importieren eines externen Schlüssels als FIPS-Schlüssel in eine MPX 9700/10500/12500/15500 FIPS-Appliance mit der GUI

  1. Wenn der Schlüssel im PFX-Format ist, müssen Sie ihn zuerst in das PEM-Format konvertieren.

    1. Navigieren Sie zu Traffic Management > SSL.
    2. Klicken Sie im Detailbereich unter Tools auf PKCS #12 importieren.
    3. Legen Sie im Dialogfeld PKCS12-Datei importieren die folgenden Parameter fest:
      • Name der Ausgabedatei*
      • PKCS12 Dateiname* - Geben Sie den Dateinamen .pfx an.
      • Kennwort importieren*
      • Kodierungsformat *Ein erforderlicher Parameter
  2. Navigieren Sie zu Traffic Management > SSL > FIPS.

  3. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel auf Importieren.

  4. Wählen Sie im Dialogfeld Als FIPS-Schlüssel importieren die Option PEM-Datei aus, und legen Sie Werte für die folgenden Parameter fest:

    • FIPS-Schlüsselname*
    • Schlüsseldateiname* - Um die Datei an einem anderen Speicherort als dem Standardspeicherort zu platzieren, können Sie entweder den vollständigen Pfad angeben oder auf Durchsuchen klicken und zu einem Speicherort navigieren.

    * Ein erforderlicher Parameter

  5. Klicken Sie auf Importierenund dann auf Schließen.

  6. Vergewissern Sie sich auf der Registerkarte FIPS-Tasten, dass die für den importierten FIPS-Schlüssel angezeigten Einstellungen korrekt sind.

MPX 9700/10500/12500/15500 FIPS-Geräte