Citrix ADC

Aktualisieren der Firmware auf Version 2.2 auf einer FIPS-Karte

August 19, 2021

Beitrag von:

Wichtig! Die FIPS-Plattform MPX 9700/10500/12500/15500 hat das Lebensende erreicht.

Die FIPS Firmware Version 2.2 unterstützt die TLS-Protokoll-Versionen 1.1 und 1.2. Über die Befehlszeile können Sie die Firmware-Version der FIPS-Karte einer Citrix ADC MPX 9700/10500/12500/15500 FIPS Appliance von Version 1.1 auf Version 2.2 aktualisieren.

Für eine erfolgreiche SIM-Key-Weitergabe von primären zu sekundären in einem High Availability (HA) -Paar muss die Cavium-Firmware-Version auf jeder Appliance identisch sein. Führen Sie zuerst das Firmware-Update auf der sekundären Appliance durch. Wenn der lang andauernde Aktualisierungsprozess zuerst auf der primären Appliance ausgeführt wird, führt dies zu einem Failover.

Einschränkungen

Sichere Neuverhandlungen werden nur auf virtuellen SSL-Servern und Front-End-SSL-Diensten unterstützt.
Das Erstellen einer Zertifikatsignaturanforderung mithilfe eines Schlüssels, der auf Firmware-Version 1.1 erstellt und auf Firmware-Version 2.2 aktualisiert wurde, schlägt fehl.
Sie können keinen 1024-Bit-RSA-Schlüssel auf der Firmware-Version 2.2 erstellen. Wenn Sie jedoch einen 1024-Bit-FIPS-Schlüssel auf Firmware-Version 1.1 importiert oder erstellt haben und dann auf Firmware-Version 2.2 aktualisieren, können Sie diesen FIPS-Schlüssel auf Firmware-Version 2.2 verwenden.
Es werden nur 2048-Bit-RSA-Schlüssel unterstützt.
Das 4096-Bit-Clientzertifikat wird nicht unterstützt (wenn die Clientauthentifizierung auf dem Back-End-Server aktiviert ist).
Eine sichere Neuverhandlung mit dem SSLv3-Protokoll wird nicht unterstützt.
Nach dem Upgrade der Firmware sind TLSv1.1 und TLSv1.2 standardmäßig auf den vorhandenen virtuellen Server, internen Diensten, Front-End- und Back-End-Diensten deaktiviert. Um TLS 1.1/1.2 zu verwenden, müssen Sie diese Protokolle explizit auf den SSL-Entitäten nach dem Upgrade aktivieren.
FIPS-Schlüssel, die in der Firmware-Version 2.2 erstellt werden, sind nicht verfügbar, wenn Sie die Firmware auf Version 1.1 herunterstufen.

Voraussetzungen

Laden Sie die folgenden Dateien von der Download-Seite auf www.citrix.com herunter. Die Dateien müssen im Verzeichnis /var/nsinstall auf der Appliance gespeichert werden.

FW 2.2 Datei: FW-2.2-130013
FW 2.2 Signaturdatei: FW-2.2-130013.sign

FW-2.2-130013 ist die empfohlene Firmware-Version. Es enthält Fixes, um DRBG zu verbessern.

Aktualisieren der FIPS-Firmware auf Version 2.2 auf einer eigenständigen Appliance

Melden Sie sich mit den Administratoranmeldeinformationen bei der Appliance an.

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um zu bestätigen, dass die FIPS-Karte initialisiert wurde.

show fips

FIPS HSM Info:
HSM Label       : Citrix ADC FIPS
Initialization      : FIPS-140-2 Level-2
HSM Serial Number   : 3.0G1235-ICM000264
HSM State       : 2
HSM Model       : NITROX XL CN1620-NFBE

Hardware Version    : 2.0-G
Firmware Version    : 1.1
Firmware Release Date   : Jun04,2010

Max FIPS Key Memory : 3996
Free FIPS Key Memory    : 3992
Total SRAM Memory   : 467348
Free SRAM Memory    : 62512
Total Crypto Cores  : 3
Enabled Crypto Cores    : 1
Done
<!--NeedCopy-->

Speichern Sie die Konfiguration. Geben Sie an der Eingabeaufforderung Folgendes ein:
```
save config

```

Führen Sie das Update durch. Geben Sie an der Eingabeaufforderung Folgendes ein:

update ssl fips -fipsFW <path to the extracted contents>/CN16XX-NFBE-FW-2.2-1300013
<!--NeedCopy-->

Drücken Sie Y, wenn die folgende Eingabeaufforderung angezeigt wird:

This command will update compatible version of the FIPS firmware.  You must save the current configuration (saveconfig) before executing this command. You must reboot the system after execution of this command, for the firmware update to take effect. Do you want to continue?(Y/N)Y

Done
<!--NeedCopy-->

Hinweis: Sie müssen nur die Firmware-Datei angeben, da die Firmware-Signaturdatei am selben Speicherort abgelegt wird.

Das Update dauert bis zu 10 Sekunden. Der Update-Befehl blockiert, was bedeutet, dass keine anderen Aktionen ausgeführt werden, bis der Befehl beendet ist. Die Eingabeaufforderung wird erneut angezeigt, wenn die Ausführung des Befehls abgeschlossen ist.

Starten Sie die Appliance neu. Geben Sie an der Eingabeaufforderung Folgendes ein:
```
reboot

Are you sure you want to restart NetScaler (Y/N)? [N]:Y

```

Stellen Sie sicher, dass das Update erfolgreich ist. Geben Sie an der Eingabeaufforderung Folgendes ein:

show fips
<!--NeedCopy-->

Die in der Ausgabe angezeigte Firmware-Version muss 2.2 sein. Beispiel:

sh fips
    FIPS HSM Info:
        HSM Label       : Citrix ADC FIPS
        Initialization      : FIPS-140-2 Level-2
        HSM Serial Number   : 2.1G1207-IC002429
        HSM State       : 2
        HSM Model       : NITROX XL CN1620-NFBE

        Hardware Version    : 2.0-G
        Firmware Version    : 2.2
        Firmware Build         : NFBE-FW-2.2-130013
        Max FIPS Key Memory : 3996
        Free FIPS Key Memory    : 3982
        Total SRAM Memory   : 467348
        Free SRAM Memory    : 50472
        Total Crypto Cores  : 3
        Enabled Crypto Cores    : 1
Done
<!--NeedCopy-->

Aktualisieren der FIPS-Firmware auf Version 2.2 auf Appliances in einem Hochverfügbarkeitspaar

Melden Sie sich am sekundären Knoten an und führen Sie das Update wie unter Aktualisieren der FIPS-Firmware auf Version 2.2 auf einer eigenständigen Appliance beschrieben durch.

Erzwingen Sie, dass der sekundäre Knoten primär wird. Geben Sie an der Eingabeaufforderung Folgendes ein:
```
force failover

```
Drücken Sie Y an der Bestätigungsaufforderung.
Melden Sie sich am neuen sekundären Knoten (alter primärer Knoten) an, und führen Sie das Update wie unter Aktualisieren der FIPS-Firmware auf Version 2.2 auf einer eigenständigen Appliance beschrieben durch.
Erzwingen Sie, dass der neue sekundäre Knoten wieder primär wird. Geben Sie an der Eingabeaufforderung Folgendes ein:
```
force failover

```
Drücken Sie Y an der Bestätigungsaufforderung.

Aktualisieren der FIPS-Firmware auf Version 1.1 auf einer eigenständigen Appliance

Laden Sie die Dateien nfb_firmware-r1235_100604 und nfb_firmware-r1235_100604.sign auf der Download-Seite auf www.citrix.com in dasselbe Verzeichnis auf der Appliance herunter.
Melden Sie sich mit den Administratoranmeldeinformationen bei der Appliance an.

Geben Sie an der Eingabeaufforderung Folgendes ein:

update ssl fips -fipsFW /<full path to the file>/nfb_firmware-r1235_100604
<!--NeedCopy-->

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Citrix Dokumentation maschinell übersetzt. Citrix hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Citrix Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Citrix gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Citrix kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

Aktualisieren der Firmware auf Version 2.2 auf einer FIPS-Karte

August 19, 2021

Beitrag von:

August 19, 2021

Beitrag von:

In diesem Artikel

Einschränkungen
Voraussetzungen
Aktualisieren der FIPS-Firmware auf Version 2.2 auf einer eigenständigen Appliance
Aktualisieren der FIPS-Firmware auf Version 2.2 auf Appliances in einem Hochverfügbarkeitspaar
Aktualisieren der FIPS-Firmware auf Version 1.1 auf einer eigenständigen Appliance