Citrix ADC 13.0

Configurar un dispositivo FIPS por primera vez

Se requiere un par de claves de certificado para el acceso HTTPS a la utilidad de configuración y para las llamadas a procedimientos remotos seguros. Los nodos RPC son entidades internas del sistema utilizadas para la comunicación de información de configuración y sesión de sistema a sistema. Existe un nodo RPC en cada dispositivo. Este nodo almacena la contraseña, que se compara con la proporcionada por el dispositivo de contacto. Para comunicarse con otros dispositivos Citrix ADC, cada dispositivo requiere conocimientos sobre los demás dispositivos, incluido el modo de autenticarse en el otro dispositivo. Los nodos RPC mantienen esta información, que incluye las direcciones IP de los demás dispositivos Citrix ADC y las contraseñas utilizadas para autenticarse en cada uno de ellos.

En un dispositivo virtual Citrix ADC MPX, un par de claves de certificado se vincula automáticamente a los servicios internos. En un dispositivo FIPS, se debe importar un par de claves de certificado al módulo de seguridad de hardware (HSM) de una tarjeta FIPS. Para ello, debe configurar la tarjeta FIPS, crear un par de certificados y vincularlo a los servicios internos.

Configurar HTTPS seguro mediante la CLI

Para configurar HTTPS seguro mediante la CLI, siga estos pasos

  1. Inicialice el módulo de seguridad de hardware (HSM) en la tarjeta FIPS del dispositivo. Para obtener información sobre la inicialización del HSM, consulte Configurar el HSM.

  2. Si el dispositivo forma parte de una configuración de alta disponibilidad, habilite la SIM. Para obtener información sobre cómo habilitar la SIM en los dispositivos primario y secundario, consulte Configurar dispositivos FIPS en una configuración de alta disponibilidad.

  3. Importe la clave FIPS en el HSM de la tarjeta FIPS del dispositivo. En el símbolo del sistema, escriba:

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. Agregue un par de certificados y claves. En el símbolo del sistema, escriba:

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. Enlazar la clave de certificado creada en el paso anterior a los siguientes servicios internos. En el símbolo del sistema, escriba:

    bind ssl service nshttps-127.0.0.1-443 -certkeyname server

    bind ssl service nshttps-::11-443 -certkeyname server

Configure HTTPS seguro mediante la interfaz gráfica de usuario

Para configurar HTTPS seguro mediante la GUI, siga estos pasos:

  1. Inicialice el módulo de seguridad de hardware (HSM) en la tarjeta FIPS del dispositivo. Para obtener información sobre la inicialización del HSM, consulte Configurar el HSM.

  2. Si el dispositivo forma parte de una configuración de alta disponibilidad, habilite el sistema de información seguro (SIM). Para obtener información sobre cómo habilitar la SIM en los dispositivos primario y secundario, consulte Configurar dispositivos FIPS en una configuración de alta disponibilidad.
  3. Importe la clave FIPS en el HSM de la tarjeta FIPS del dispositivo. Para obtener más información acerca de la importación de una clave FIPS, consulte la sección Importar una clave FIPS existente.
  4. Vaya a Administración del tráfico > SSL > Certificados.
  5. En el panel de detalles, haga clic en Instalar.
  6. En el cuadro de diálogo Instalar certificado, escriba los detalles del certificado.
  7. Haga clic en Crear y, a continuación, en Cerrar.
  8. Vaya a Administración del tráfico > Equilibrio de carga > Servicios.
  9. En el panel de detalles, en la ficha Acción, haga clic en Servicios internos.
  10. Seleccione nshttps-127.0.0.1-443 de la lista y, a continuación, haga clic en Abrir.
  11. En la ficha Configuración SSL, en el panel Disponible, seleccione el certificado creado en el paso 7, haga clic en Agregar y, a continuación, haga clic en Aceptar.
  12. Seleccione nshttps-: :11-443 de la lista y, a continuación, haga clic en Abrir.
  13. En la ficha Configuración SSL, en el panel Disponible, seleccione el certificado creado en el paso 7, haga clic en Agregar y, a continuación, haga clic en Aceptar.
  14. Haga clic en OK.

Configurar RPC seguro mediante la CLI

Para configurar RPC seguro mediante la CLI, siga estos pasos:

  1. Inicialice el módulo de seguridad de hardware (HSM) en la tarjeta FIPS del dispositivo. Para obtener información sobre la inicialización del HSM, consulte Configurar el HSM.

  2. Habilite el sistema de información segura (SIM). Para obtener información sobre cómo habilitar la SIM en los dispositivos primario y secundario, consulte Configurar dispositivos FIPS en una configuración de alta disponibilidad.

  3. Importe la clave FIPS en el HSM de la tarjeta FIPS del dispositivo. En el símbolo del sistema, escriba:

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. Agregue un par de certificados y claves. En el símbolo del sistema, escriba:

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. Enlazar el par de certificación-clave a los siguientes servicios internos. En el símbolo del sistema, escriba:

    bind ssl service nsrpcs-127.0.0.1-3008 -certkeyname server

    bind ssl service nskrpcs-127.0.0.1-3009 -certkeyname server

    bind ssl service nsrpcs-::1l-3008 -certkeyname server

  6. Habilite el modo RPC seguro. En el símbolo del sistema, escriba:

    set ns rpcnode <IP address> -secure SÍ

    Para obtener más información sobre cómo cambiar una contraseña de nodo RPC, consulte Cambiar una contraseña de nodo RPC.

Configurar RPC seguro mediante la interfaz gráfica de usuario

Para configurar RPC seguro mediante la GUI, siga estos pasos:

  1. Inicialice el módulo de seguridad de hardware (HSM) en la tarjeta FIPS del dispositivo. Para obtener información sobre la inicialización del HSM, consulte Configurar el HSM.
  2. Habilite el sistema de información segura (SIM). Para obtener información sobre cómo habilitar la SIM en los dispositivos primario y secundario,Configurar dispositivos FIPS en una configuración de alta disponibilidad.
  3. Importe la clave FIPS en el HSM de la tarjeta FIPS del dispositivo. Para obtener más información acerca de la importación de una clave FIPS, consulte la Importar una clave FIPS existentesección.
  4. Vaya a Administración del tráfico > SSL > Certificados.
  5. En el panel de detalles, haga clic en Instalar.
  6. En el cuadro de diálogo Instalar certificado, escriba los detalles del certificado.
  7. Haga clic en Crear y, a continuación, en Cerrar.
  8. Vaya a Administración del tráfico > Equilibrio de carga > Servicios.
  9. En el panel de detalles, en la ficha Acción, haga clic en Servicios internos.
  10. Seleccione nsrpcs-127.0.0.1-3008 de la lista y, a continuación, haga clic en Abrir.
  11. En la ficha Configuración SSL, en el panel Disponible, seleccione el certificado creado en el paso 7, haga clic en Agregar y, a continuación, haga clic en Aceptar.
  12. Seleccione nskrpcs-127.0.0.1-3009 de la lista y, a continuación, haga clic en Abrir.
  13. En la ficha Configuración SSL, en el panel Disponible, seleccione el certificado creado en el paso 7, haga clic en Agregar y, a continuación, haga clic en Aceptar.
  14. Seleccione nsrpcs-: :11-3008 de la lista y, a continuación, haga clic en Abrir.
  15. En la ficha Configuración SSL, en el panel Disponible, seleccione el certificado creado en el paso 7, haga clic en Agregar y, a continuación, haga clic en Aceptar.
  16. Haga clic en OK.
  17. Vaya a Sistema > Red > RPC.
  18. En el panel de detalles, seleccione la dirección IP y haga clic en Abrir.
  19. En el cuadro de diálogo Configurar nodo RPC, seleccione Seguro.
  20. Haga clic en OK.
Configurar un dispositivo FIPS por primera vez