-
Bereitstellen einer Citrix ADC VPX-Instanz
-
Installieren einer Citrix ADC VPX Instanz auf einem Bare-Metal-Server
-
Installieren einer Citrix ADC VPX-Instanz auf Citrix Hypervisor
-
Installieren einer Citrix ADC VPX Instanz in VMware Cloud auf AWS
-
Installieren einer Citrix ADC VPX Instanz auf Microsoft Hyper-V-Servern
-
Installieren einer Citrix ADC VPX-Instanz auf der Linux-KVM-Plattform
-
Bereitstellen der virtuellen Citrix ADC Appliance mit OpenStack
-
Bereitstellen der Citrix ADC Virtual Appliance mit Virtual Machine Manager
-
Konfigurieren virtueller Citrix ADC Appliances für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Bereitstellen der virtuellen Citrix ADC Appliance mit dem Virsh-Programm
-
Bereitstellen der virtuellen Citrix ADC Appliance mit SR-IOV auf OpenStack
-
Bereitstellen einer Citrix ADC VPX-Instanz auf AWS
-
Bereitstellen einer eigenständigen Citrix ADC VPX-Instanz in AWS
-
Bereitstellen eines hochverfügbaren VPX-Paars mit elastischen IP-Adressen in verschiedenen AWS-Zonen
-
Bereitstellen eines hochverfügbaren VPX-Paars mit privaten IP-Adressen in verschiedenen AWS-Zonen
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung von Enhanced Networking mit AWS ENA
-
Bereitstellen einer Citrix ADC VPX Instanz in Microsoft Azure
-
Netzwerkarchitektur für Citrix ADC VPX-Instanzen in Microsoft Azure
-
Konfigurieren mehrerer IP-Adressen für eine eigenständige Citrix ADC VPX-Instanz
-
Konfigurieren eines Hochverfügbarkeitssetups mit mehreren IP-Adressen und Netzwerkkarten
-
Konfigurieren einer Citrix ADC VPX-Instanz für beschleunigte Azure-Netzwerke
-
Konfigurieren von HA-INC-Knoten mit der Citrix Hochverfügbarkeitsvorlage mit Azure ILB
-
Konfigurieren von GSLB auf einem Hochverfügbarkeits-Setup mit aktivem Standby-Modus
-
Konfigurieren von Adresspools (IIP) für eine Citrix Gateway Appliance
-
Zusätzliche PowerShell -Skripts für die Azure-Bereitstellung
-
Bereitstellen einer Citrix ADC VPX-Instanz auf der Google Cloud Platform
-
Automatisieren der Bereitstellung und Konfiguration von Citrix ADC
-
Upgrade und Downgrade einer Citrix ADC Appliance
-
Lösungen für Telekommunikationsdienstleister
-
Lastausgleich Control-Ebenenverkehr, der auf Durchmesser-, SIP- und SMPP-Protokollen basiert
-
Authentifizierung, Autorisierung und Auditing des Anwendungsdatenverkehrs
-
Funktionsweise von Authentifizierung, Autorisierung und Auditing
-
Grundkomponenten der Authentifizierungs-, Autorisierungs- und Überwachungskonfiguration
-
On-Premises Citrix Gateway als Identitätsanbieter für Citrix Cloud
-
Konfigurationsunterstützung für das Cookie-Attribut SameSite
-
Authentifizierung, Autorisierung und Auditing-Konfiguration für häufig verwendete Protokolle
-
Beheben von Problemen mit Authentifizierung und Autorisierung
-
-
-
-
Konfigurieren des erweiterten Richtlinienausdrucks: Erste Schritte
-
Erweiterte Richtlinienausdrücke: Arbeiten mit Datumsangaben, Uhrzeiten und Zahlen
-
Erweiterte Richtlinienausdrücke: Analysieren von HTTP-, TCP- und UDP-Daten
-
Erweiterte Richtlinienausdrücke: Analysieren von SSL-Zertifikaten
-
Erweiterte Richtlinienausdrücke: IP- und MAC-Adressen, Durchsatz, VLAN-IDs
-
Erweiterte Richtlinienausdrücke: Stream Analytics-Funktionen
-
Zusammenfassende Beispiele für Standard-Syntaxausdrücke und -richtlinien
-
Tutorialbeispiele für Standard-Syntaxrichtlinien für das Umschreiben
-
Migration von Apache mod_rewrite Regeln auf die Standardsyntax
-
-
-
-
-
Verwalten eines virtuellen Cache-Umleitungsservers
-
Statistiken zum virtuellen Server zur Cache-Umleitung anzeigen
-
Aktivieren oder Deaktivieren eines virtuellen Cache-Umleitungsservers
-
Direkter Richtlinientreffer in den Cache anstelle des Ursprungs
-
Verwalten von Clientverbindungen für einen virtuellen Server
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
-
Ziel-IP-Adresse einer Anforderung in Ursprungs-IP-Adresse übersetzen
-
-
-
Konfigurieren von Citrix ADC als nicht validierenden, sicherheitsbezogene Stub-Resolver
-
Jumbo-Frames-Unterstützung für DNS, um Antworten großer Größen zu verarbeiten
-
Konfigurieren der negativen Zwischenspeicherung von DNS-Einträgen
-
-
GSLB-Entitäten einzeln konfigurieren
-
Anwendungsfall: Bereitstellung einer Domainnamen-basierten Autoscale-Dienstgruppe
-
Anwendungsfall: Bereitstellung einer IP-adressbasierten Autoscale-Service-Gruppe
-
-
Verwalten des Client-Datenverkehrs
-
Konfigurieren von virtuellen Servern ohne Sitzungsaufwand für den Lastenausgleich
-
IP-Adresse und Port eines virtuellen Servers in den Request-Header einfügen
-
Verwenden einer angegebenen Quell-IP für die Backend-Kommunikation
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Verwalten des Client-Datenverkehrs auf der Grundlage der Datenverkehrsrate
-
Verwenden eines Quellports aus einem angegebenen Portbereich für die Backend-Kommunikation
-
Konfigurieren der Quell-IP-Persistenz für die Backend-Kommunikation
-
Verwenden von lokalen IPv6-Link-Adressen auf Serverseite eines Lastausgleichs-Setups
-
-
Erweiterte Lastenausgleichseinstellungen
-
Schützen von Anwendungen auf geschützten Servern vor Überlastung des Datenverkehrs
-
Bereinigung von virtuellen Server- und Dienstverbindungen aktivieren
-
Aktivieren oder Deaktivieren der Persistenzsitzung auf TROFS-Diensten
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
Verwalten der Clientverbindung für mehrere Clientanforderungen
-
Standortdetails von der Benutzer-IP-Adresse mit der Geolocation-Datenbank abrufen
-
Verwenden der Quell-IP-Adresse des Clients für die Verbindung zum Server
-
Festlegen eines Grenzwerts für die Anzahl der Clientverbindungen
-
Festlegen eines Grenzwerts für die Anzahl der Anforderungen pro Verbindung zum Server
-
Festlegen eines Schwellenwerts für die an einen Dienst gebundenen Monitore
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Festlegen eines Zeitüberschreitungswertes für Serververbindungen im Leerlauf
-
Festlegen eines Grenzwerts für die Bandbreitenauslastung durch Clients
-
Konfigurieren des Lastenausgleichs für häufig verwendete Protokolle
-
Anwendungsfall 3: Konfigurieren des Lastausgleichs im Direktserverrückgabemodus
-
Anwendungsfall 4: Konfigurieren von LINUX-Servern im DSR-Modus
-
Anwendungsfall 5: Konfigurieren des DSR-Modus bei Verwendung von TOS
-
Anwendungsfall 6: Konfigurieren des Lastausgleichs im DSR-Modus für IPv6-Netzwerke über das TOS-Feld
-
Anwendungsfall 7: Konfigurieren des Lastausgleichs im DSR-Modus mit IP over IP
-
Anwendungsfall 8: Lastausgleich im Einarmmodus konfigurieren
-
Anwendungsfall 9: Konfigurieren des Lastausgleichs im Inline-Modus
-
Anwendungsfall 10: Lastausgleich von Intrusion Detection Systemservern
-
Anwendungsfall 11: Isolieren des Netzwerkverkehrs mit Listening-Richtlinien
-
Anwendungsfall 12: Konfigurieren von XenDesktop für den Lastenausgleich
-
Anwendungsfall 13: Konfigurieren von XenApp für den Lastenausgleich
-
Anwendungsfall 14: ShareFile Assistent für den Lastenausgleich von Citrix ShareFile
-
SSL-Offload und Beschleunigung
-
Unterstützung für Intel Coleto SSL-Chip-basierte Plattformen
-
MPX 9700/10500/12500/15500 FIPS-Geräte
-
Unterstützung für Gemalto SafeNet Network Hardwaresicherheitsmodul
-
-
-
-
Konfigurieren eines CloudBridge Connector-Tunnels zwischen zwei Rechenzentren
-
Konfigurieren von CloudBridge Connector zwischen Datacenter und AWS Cloud
-
Konfigurieren eines CloudBridge-Connector-Tunnels zwischen einem Datacenter und Azure Cloud
-
Konfigurieren des CloudBridge Connector-Tunnels zwischen Datacenter und SoftLayer Enterprise Cloud
-
-
Punkte, die für ein Hochverfügbarkeits-Setup berücksichtigt werden müssen
-
Synchronisieren von Konfigurationsdateien in einem Hochverfügbarkeitssetup
-
Beschränken des Hochverfügbarkeitssynchronisierungsverkehrs auf ein VLAN
-
Konfigurieren von Hochverfügbarkeitsknoten in verschiedenen Subnetzen
-
Beschränken von Failovers durch Routenmonitore im Nicht-INC-Modus
-
Verwalten von Heartbeat-Nachrichten mit hoher Verfügbarkeit auf einer Citrix ADC Appliance
-
Entfernen und Ersetzen eines Citrix ADC in einem Hochverfügbarkeit-Setup
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
MPX 9700/10500/12500/15500 FIPS-Geräte
Der Federal Information Processing Standard (FIPS), ausgestellt vom US National Institute of Standards and Technologies, legt die Sicherheitsanforderungen für ein kryptografisches Modul fest, das in einem Sicherheitssystem verwendet wird. Die Citrix ADC FIPS-Appliance erfüllt die zweite Version dieses Standards, FIPS-140-2.
Hinweis: Alle Verweise auf FIPS implizieren fortan FIPS-140-2.
Die FIPS-Appliance ist mit einem manipulationssicheren (manipulationssicheren) Kryptografie-Modul und einem Cavium CN1620-NFBE3-2.0-G der MPX 9700/10500/12500/15500 FIPS Appliances ausgestattet, die den FIPS 140-2 Level-2-Spezifikationen entsprechen. Die kritischen Sicherheitsparameter (CSPs), in erster Linie der private Schlüssel des Servers, werden sicher im kryptografischen Modul gespeichert und generiert, auch als Hardwaresicherheitsmodul (HSM) bezeichnet. Auf die CSPs wird niemals außerhalb der Grenzen des HSM zugegriffen. Nur der Superuser kann Operationen an den im HSM gespeicherten Schlüsseln ausführen.
In der folgenden Tabelle werden die Unterschiede zwischen Standard-Citrix ADC und Citrix ADC FIPS-Appliances zusammengefasst.
Einstellung | Citrix ADC Appliance | Citrix ADC FIPS-Appliance |
---|---|---|
Schlüsselspeicher | Auf der Festplatte | Auf der FIPS-Karte |
Verschlüsselungsunterstützung | Alle Chiffre | FIPS-zugelassene Chiffre |
Zugriff auf Schlüssel | Von der Festplatte | Nicht zugänglich |
Die Konfiguration einer FIPS-Appliance beinhaltet die Konfiguration des HSM unmittelbar nach Abschluss des generischen Konfigurationsprozesses. Anschließend erstellen oder importieren Sie einen FIPS-Schlüssel. Nachdem Sie einen FIPS-Schlüssel erstellt haben, müssen Sie ihn zur Sicherung exportieren. Möglicherweise müssen Sie auch einen FIPS-Schlüssel exportieren, damit Sie ihn in eine andere Appliance importieren können. Zum Beispiel erfordert die Konfiguration von FIPS-Appliances in einem HA-Setup die Übertragung des FIPS-Schlüssels vom primären Knoten auf den sekundären Knoten unmittelbar nach Abschluss des Standard-HA-Setups.
Sie können die Firmware-Version auf der FIPS-Karte von Version 4.6.0 auf 4.6.1 aktualisieren. Sie können auch ein HSM zurücksetzen, das gesperrt wurde, um eine unbefugte Anmeldung zu verhindern. Auf einer Citrix ADC FIPS-Appliance werden nur FIPS-zugelassene Chiffre unterstützt.
HSM-Konfiguration
Bevor Sie das HSM Ihrer Citrix ADC FIPS-Appliance konfigurieren können, müssen Sie die anfängliche Hardwarekonfiguration abschließen. Weitere Hinweise zu MPX-Appliances finden Sie unterErstkonfiguration. Informationen zu SDX-Appliances erhalten Sie, indem Sie auf klickenhier.
Durch die Konfiguration des HSM Ihrer Citrix ADC FIPS-Appliance werden alle vorhandenen Daten auf dem HSM gelöscht. Um das HSM zu konfigurieren, müssen Sie als Superuser bei der Appliance angemeldet sein. Das HSM ist mit Standardwerten für das Security Officer (SO) Kennwort und das Benutzerkennwort vorkonfiguriert, mit denen Sie das HSM konfigurieren oder ein gesperrtes HSM zurücksetzen. Die maximal zulässige Länge für das Kennwort beträgt 14 alphanumerische Zeichen. Symbole sind nicht zulässig.
Wichtig: Führen Sie den
set ssl fips
Befehl erst aus, nachdem Sie die FIPS-Karte zum ersten Mal zurückgesetzt und die MPX FIPS-Appliance neu gestartet haben.
Obwohl die FIPS-Appliance mit den Standardkennwortwerten verwendet werden kann, müssen Sie sie vor der Verwendung ändern. Das HSM kann nur konfiguriert werden, wenn Sie sich bei der Appliance als Superuser anmelden und die SO- und Benutzerkennwörter angeben.
Wichtig: Aufgrund von Sicherheitseinschränkungen bietet die Appliance keine Möglichkeit zum Abrufen des SO-Kennworts. Speichern Sie eine Kopie des Kennworts sicher. Wenn Sie das HSM neu initialisieren müssen, müssen Sie dieses Kennwort als altes SO-Kennwort angeben.
Bevor Sie das HSM initialisieren, können Sie auf den neuesten Build der Software upgraden. Informationen zum Upgrade auf den neuesten Build finden Sie unterUpgrade oder Herabstufung der Systemsoftware.
Stellen Sie nach dem Upgrade sicher, dass das /nsconfig/fips
Verzeichnis erfolgreich auf der Appliance erstellt wurde.
Konfigurieren Sie das HSM auf der MPX 9700/10500/12500/15500 FIPS-Plattform mit der CLI
Nachdem Sie sich bei der Appliance als Superuser angemeldet und die Erstkonfiguration abgeschlossen haben, geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um das HSM zu konfigurieren und die Konfiguration zu überprüfen:
show ssl fips
reset ssl fips
reboot
set ssl fips -initHSM Level-2 <newSOpassword> <oldSOpassword> <userPassword> [-hsmLabel <string>]
save ns config
reboot
show ssl fips
Beispiel:
show fips
FIPS Card is not configured
Done
reset fips
reboot
Are you sure you want to restart NetScaler (Y/N)? [N]:y
set ssl fips -initHSM Level-2 sopin12345 so12345 user123 -hsmLabel cavium
This command will erase all data on the FIPS card. You must save the configuration
(saveconfig) after executing this command.
Do you want to continue?(Y/N)y
Done
save ns config
reboot
Are you sure you want to restart NetScaler (Y/N)? [N]:y
show fips
FIPS HSM Info:
HSM Label : Citrix ADC FIPS
Initialization : FIPS-140-2 Level-2
HSM Serial Number : 2.1G1008-IC000021
HSM State : 2
HSM Model : NITROX XL CN1620-NFBE
Firmware Version : 1.1
Firmware Release Date : Jun04,2010
Max FIPS Key Memory : 3996
Free FIPS Key Memory : 3994
Total SRAM Memory : 467348
Free SRAM Memory : 62564
Total Crypto Cores : 3
Enabled Crypto Cores : 1
Done
Note: If you upgrade the firmware to version 2.2, the firmware release date is replaced with the firmware build.
> show fips
FIPS HSM Info:
HSM Label : Citrix ADC FIPS
Initialization : FIPS-140-2 Level-2
HSM Serial Number : 3.0G1235-ICM000264
HSM State : 2
HSM Model : NITROX XL CN1620-NFBE
Hardware Version : 2.0-G
Firmware Version : 2.2
Firmware Build : NFBE-FW-2.2-130009
Max FIPS Key Memory : 3996
Free FIPS Key Memory : 3958
Total SRAM Memory : 467348
Free SRAM Memory : 50524
Total Crypto Cores : 3
Enabled Crypto Cores : 3
Done
Konfigurieren Sie das HSM auf der MPX 9700/10500/12500/15500 FIPS-Plattform mit der GUI
-
Navigieren Sie zu Traffic Management > SSL > FIPS.
-
Klicken Sie im Detailbereich auf der Registerkarte FIPS Infosauf FIPS zurücksetzen.
-
Klicken Sie im Navigationsbereich auf System.
-
Klicken Sie im Detailbereich auf Reboot.
-
Klicken Sie im Detailbereich auf der Registerkarte FIPS-Info auf Initialize HSM.
-
Geben Sie im Dialogfeld HSM initialisieren Werte für die folgenden Parameter an:
- Security Officer (SO) Kennwort*- Neues SO-Kennwort
- Altes SO-Kennwort*-altes SO-Kennwort
- Benutzerkennwort*- Benutzerkennwort
- Level - InithSM (momentan auf Level2 eingestellt und kann nicht geändert werden)
- HSM-Beschriftung - HSMLabel
* Ein erforderlicher Parameter
-
Klicken Sie auf OK.
-
Klicken Sie im Detailbereich auf Speichern.
-
Klicken Sie im Navigationsbereich auf System.
-
Klicken Sie im Detailbereich auf Reboot.
-
Stellen Sie unter FIPS HSM Info sicher, dass die angezeigten Informationen für das von Ihnen konfigurierte FIPS-HSM korrekt sind.
FIPS-Schlüssel erstellen und übertragen
Nachdem Sie das HSM Ihrer FIPS-Appliance konfiguriert haben, können Sie einen FIPS-Schlüssel erstellen. Der FIPS-Schlüssel wird im HSM der Appliance erstellt. Anschließend können Sie den FIPS-Schlüssel als gesichertes Backup auf die CompactFlash-Karte der Appliance exportieren. Wenn Sie den Schlüssel exportieren, können Sie ihn auch übertragen, indem Sie ihn in das /flash einer anderen Appliance kopieren und dann in das HSM dieser Appliance importieren. Aktivieren Sie SIM zwischen zwei Standalone-Knoten, bevor Sie die Schlüssel exportieren und übertragen. Wenn in einem HA-Setup einer der Knoten durch einen neuen ersetzt wird, müssen Sie die folgenden Schritte ausführen:
- Aktivieren Sie SIM zwischen dieser neuen Appliance und der vorhandenen Appliance des HA-Setups.
- Exportieren oder importieren Sie FIPS-Schlüssel.
Anstatt einen FIPS-Schlüssel zu erstellen, können Sie einen vorhandenen FIPS-Schlüssel importieren oder einen externen Schlüssel als FIPS-Schlüssel importieren. Wenn Sie ein Zertifikatschlüsselpaar von 2048 Bits auf MPX 9700/10500/12500/15500 FIPS-Appliances hinzufügen, stellen Sie sicher, dass Sie über das richtige Zertifikat und das richtige Schlüsselpaar verfügen.
Hinweis: Wenn Sie eine HA-Setup planen, stellen Sie sicher, dass die FIPS-Appliances in einem HA-Setup konfiguriert sind, bevor Sie einen FIPS-Schlüssel erstellen.
FIPS-Schlüssel erstellen
Stellen Sie vor dem Erstellen eines FIPS-Schlüssels sicher, dass der HSM konfiguriert ist.
Geben Sie den Schlüsseltyp (RSA oder ECDSA) an und geben Sie die Kurve für ECDSA-Schlüssel an.
Erstellen eines FIPS-Schlüssels mit der GUI
- Navigieren Sie zu Traffic Management > SSL > FIPS.
- Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel auf Hinzufügen.
-
Geben Sie im Dialogfeld FIPS-Schlüssel erstellen Werte für die folgenden Parameter an:
- FIPS-Schlüsselname* - FIPSKeyName
- Modul*-Modul
- Exponent* - Exponent
* Ein erforderlicher Parameter
- Klicken Sie auf Erstellenund dann auf Schließen.
- Vergewissern Sie sich auf der Registerkarte FIPS-Tasten, dass die für den von Ihnen erstellten FIPS-Schlüssel angezeigten Einstellungen korrekt sind.
Erstellen eines FIPS-Schlüssels mit der CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen FIPS-Schlüssel zu erstellen und die Einstellungen zu überprüfen:
create ssl fipsKey <fipsKeyName> -modulus <positive_integer> [-exponent ( 3 | F4 )]
show ssl fipsKey [<fipsKeyName>]
Beispiel:
create fipskey Key-FIPS-1 -keytype RSA -modulus 2048 -exponent 3
show ssl fipsKey Key-FIPS-1
FIPS Key Name: Key-FIPS-1 Key Type: RSA Modulus: 2048 Public Exponent: F4 (Hex: 0x10001)
FIPS-Schlüssel exportieren
Citrix empfiehlt, ein Backup eines Schlüssels zu erstellen, der im FIPS HSM erstellt wurde. Wenn ein Schlüssel im HSM gelöscht wird, gibt es keine Möglichkeit, denselben Schlüssel erneut zu erstellen, und alle damit verbundenen Zertifikate werden nutzlos gerendert.
Zusätzlich zum Exportieren eines Schlüssels als Backup müssen Sie möglicherweise einen Schlüssel für die Übertragung auf eine andere Appliance exportieren.
Das folgende Verfahren enthält Anweisungen zum Exportieren eines FIPS-Schlüssels in den /nsconfig/ssl
Ordner auf dem CompactFlash der Appliance und zum Sichern des exportierten Schlüssels mithilfe einer starken asymmetrischen Schlüsselverschlüsselungsmethode.
Exportieren eines FIPS-Schlüssels mit der CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
export ssl fipsKey <fipsKeyName> -key <string>
Beispiel:
export fipskey Key-FIPS-1 -key Key-FIPS-1.key
Exportieren eines FIPS-Schlüssels mit der GUI
-
Navigieren Sie zu Traffic Management > SSL > FIPS.
-
Klicken Sie im Detailbereich auf der Registerkarte FIPS-Keys auf Exportieren.
-
Geben Sie im Dialogfeld FIPS-Schlüssel in eine Datei exportieren Werte für die folgenden Parameter an:
- FIPS-Schlüsselname* - FIPSKeyName
- Dateiname* - Schlüssel (Um die Datei an einem anderen Speicherort als dem Standardspeicherort zu platzieren, können Sie entweder den vollständigen Pfad angeben oder auf die Schaltfläche Durchsuchen klicken und zu einem Speicherort navigieren.)
* Ein erforderlicher Parameter
-
Klicken Sie auf Exportierenund dann auf Schließen.
Importieren eines vorhandenen FIPS-Schlüssels
Um einen vorhandenen FIPS-Schlüssel mit Ihrer FIPS-Appliance zu verwenden, müssen Sie den FIPS-Schlüssel von der Festplatte der Appliance in das HSM übertragen.
Hinweis: Um Fehler beim Importieren eines FIPS-Schlüssels zu vermeiden, stellen Sie sicher, dass der Name des importierten Schlüssels mit dem ursprünglichen Schlüsselnamen übereinstimmt, wenn er erstellt wurde.
Importieren eines FIPS-Schlüssels auf MPX 9700/10500/12500/15500 FIPS-Appliances mit der CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen FIPS-Schlüssel zu importieren und die Einstellungen zu überprüfen:
- import ssl fipsKey <fipsKeyName> -key <string> -inform SIM -exponent (F4 | 3)
- show ssl fipskey <fipsKeyName>
Beispiel:
import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform SIM -exponent F4
show ssl fipskey key-FIPS-2
FIPS Key Name: Key-FIPS-2 Modulus: 2048 Public Exponent: F4 (Hex value 0x10001)
Importieren eines FIPS-Schlüssels mit der GUI
-
Navigieren Sie zu Traffic Management > SSL > FIPS.
-
Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel auf Importieren.
-
Wählen Sie im Dialogfeld Als FIPS-Schlüssel importieren die Option FIPS-Schlüsseldatei aus, und legen Sie Werte für die folgenden Parameter fest:
- FIPS-Schlüsselname*
- Schlüsseldateiname* - Um die Datei an einem anderen Speicherort als dem Standardspeicherort zu platzieren, können Sie entweder den vollständigen Pfad angeben oder auf Durchsuchen klicken und zu einem Speicherort navigieren.
- Exponent*
* Ein erforderlicher Parameter
-
Klicken Sie auf Importierenund dann auf Schließen.
-
Vergewissern Sie sich auf der Registerkarte FIPS-Tasten, dass die für den importierten FIPS-Schlüssel angezeigten Einstellungen korrekt sind.
Importieren eines externen Schlüssels
Sie können FIPS-Schlüssel übertragen, die im HSM der Citrix ADC Appliance erstellt wurden. Sie können auch externe private Schlüssel (wie Schlüssel, die mit einem Standard-Citrix ADC, Apache oder IIS erstellt wurden) auf eine Citrix ADC FIPS-Appliance übertragen. Externe Schlüssel werden außerhalb des HSM mit einem Werkzeug wie OpenSSL erstellt. Bevor Sie einen externen Schlüssel in das HSM importieren, kopieren Sie ihn auf das Flash-Laufwerk der Appliance unter /nsconfig/ssl
.
Bei den MPX 9700/10500/12500/15500 FIPS-Appliances ist der Parameter -exponent im import ssl fipskey
Befehl beim Importieren eines externen Schlüssels nicht erforderlich. Der richtige öffentliche Exponent wird automatisch erkannt, wenn der Schlüssel importiert wird, und der Wert des -exponent-Parameters wird ignoriert.
Die Citrix ADC FIPS-Appliance unterstützt keine externen Schlüssel mit einem anderen öffentlichen Exponenten als 3 oder F4.
Sie benötigen keinen Wrap Schlüssel für MPX 9700/10500/12500/15500 FIPS-Appliances.
Sie können einen externen, verschlüsselten FIPS-Schlüssel nicht direkt in eine MPX 9700/10500/12500/15500 FIPS-Appliance importieren. Um den Schlüssel zu importieren, müssen Sie zuerst den Schlüssel entschlüsseln und dann importieren. Um den Schlüssel zu entschlüsseln, geben Sie an der Shell-Eingabeaufforderung Folgendes ein:
openssl rsa -in <EncryptedKey.key> > <DecryptedKey.out>
Hinweis: Wenn Sie einen RSA-Schlüssel als FIPS-Schlüssel importieren, empfiehlt Citrix, den RSA-Schlüssel aus Sicherheitsgründen aus der Appliance zu löschen.
Importieren eines externen Schlüssels als FIPS-Schlüssel in eine MPX 9700/10500/12500/15500 FIPS-Appliance mit der CLI
- Kopieren Sie den externen Schlüssel auf das Flash-Laufwerk der Appliance.
-
Wenn der Schlüssel im PFX-Format ist, müssen Sie ihn zuerst in das PEM-Format konvertieren. Geben Sie an der Eingabeaufforderung Folgendes ein:
convert ssl pkcs12 <output file> -import -pkcs12File <input .pfx file name> -password <password>
-
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um den externen Schlüssel als FIPS-Schlüssel zu importieren und die Einstellungen zu überprüfen:
import ssl fipsKey <fipsKeyName> -key <string> -informPEM show ssl fipskey<fipsKeyName>
Beispiel:
convert ssl pkcs12 iis.pem -password 123456 -import -pkcs12File iis.pfx
import fipskey Key-FIPS-2 -key iis.pem -inform PEM
show ssl fipskey key-FIPS-2
FIPS Key Name: Key-FIPS-2 Modulus: 0 Public Exponent: F4 (Hex value 0x10001)
Importieren eines externen Schlüssels als FIPS-Schlüssel in eine MPX 9700/10500/12500/15500 FIPS-Appliance mit der GUI
-
Wenn der Schlüssel im PFX-Format ist, müssen Sie ihn zuerst in das PEM-Format konvertieren.
- Navigieren Sie zu Traffic Management > SSL.
- Klicken Sie im Detailbereich unter Tools auf PKCS #12 importieren.
- Legen Sie im Dialogfeld PKCS12-Datei importieren die folgenden Parameter fest:
- Name der Ausgabedatei*
- PKCS12 Dateiname* - Geben Sie den Dateinamen .pfx an.
- Kennwort importieren*
- Kodierungsformat *Ein erforderlicher Parameter
-
Navigieren Sie zu Traffic Management > SSL > FIPS.
-
Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel auf Importieren.
-
Wählen Sie im Dialogfeld Als FIPS-Schlüssel importieren die Option PEM-Datei aus, und legen Sie Werte für die folgenden Parameter fest:
- FIPS-Schlüsselname*
- Schlüsseldateiname* - Um die Datei an einem anderen Speicherort als dem Standardspeicherort zu platzieren, können Sie entweder den vollständigen Pfad angeben oder auf Durchsuchen klicken und zu einem Speicherort navigieren.
* Ein erforderlicher Parameter
-
Klicken Sie auf Importierenund dann auf Schließen.
-
Vergewissern Sie sich auf der Registerkarte FIPS-Tasten, dass die für den importierten FIPS-Schlüssel angezeigten Einstellungen korrekt sind.
Teilen
Teilen
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.