Crear una clave FIPS para una instancia en un dispositivo FIPS SDX 14030/14060/14080

Puede crear una clave FIPS en la instancia o importar una clave FIPS existente en la instancia. Un dispositivo FIPS SDX 14030/14060/14080 admite solo claves de 2048 bits y 3072 bits y un valor exponente de F4. Para las claves PEM, no se requiere un exponente. Verifique que la clave FIPS se haya creado correctamente. Cree una solicitud de firma de certificado y un certificado de servidor. Finalmente, agregue el par certificate-key a su instancia.

Nota:

No se admiten claves de 1024 bits y 4096 bits y un valor exponente de 3.

Crear una clave FIPS mediante la CLI

En el símbolo del sistema, escriba:

create ssl fipsKey <fipsKeyName> -keytype ( RSA | ECDSA ) [-exponent (3 | F4 )] [-modulus <positive_integer>] [-curve ( P_256 | P_384 )]

Ejemplo:

create fipsKey f1 -keytype RSA -modulus 2048 -exponent F4

Done

show ssl fipskey ddvws

FIPS Key Name: f1  Key Type: RSA Modulus: 2048   Public Exponent: F4 (Hex: 0x10001)

Done

Importar una clave FIPS mediante la CLI

En el símbolo del sistema, escriba:

import ssl fipsKey <fipsKeyName> -key <string> [-inform <inform>] [-wrapKeyName <string>] [-iv<string>] [-exponent F4 ]

Ejemplo:

import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform SIM -exponent F4
Done
import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform PEM
Done

Compruebe que la clave FIPS se ha creado o importado correctamente ejecutando el comando show fipskey.

show fipskey
1)      FIPS Key Name: Key-FIPS-2
Done

Crear una solicitud de firma de certificado mediante la CLI

En el símbolo del sistema, escriba:

create ssl certReq <reqFile> (-keyFile <input_filename> | -fipsKeyName <string>) [-keyform ( DER | PEM )  {-PEMPassPhrase }] -countryName <string> -stateName <string> -organizationName<string> [-organizationUnitName <string>] [-localityName <string>] [-commonName <string>] [-emailAddress <string>] {-challengePassword } [-companyName <string>] [-digestMethod ( SHA1 | SHA256 )]

Ejemplo:

create certreq f1.req –fipsKeyName f1 -countryName US -stateName CA -organizationName Citrix -companyName Citrix -commonName ctx -emailAddress test@example.com`
`Done

Crear un certificado de servidor mediante la CLI

En el símbolo del sistema, escriba:

create ssl cert <certFile> <reqFile> <certType> [-keyFile <input_filename>] [-keyform ( DER | PEM ) {-PEMPassPhrase }] [-days <positive_integer>] [-certForm ( DER | PEM )] [-CAcert <input_filename>] [-CAcertForm ( DER | PEM )] [-CAkey <input_filename>] [-CAkeyForm ( DER | PEM )] [-CAserial <output_filename>]

Ejemplo:

create cert f1.cert f1.req SRVR_CERT -CAcert ns-root.cert -CAkey ns-root.key -CAserial ns-root.srl -days 1000
Done

En el ejemplo anterior se crea un certificado de servidor mediante una CA raíz local en el dispositivo.

Agregar un par de claves de certificado mediante la CLI

En el símbolo del sistema, escriba:

add ssl certKey <certkeyName> (-cert <string> [-password]) [-key <string> | -fipsKey <string> | -hsmKey <string>] [-inform <inform>] [-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod   <positive_integer>]] [-bundle ( YES | NO )]

Ejemplo:

add certkey cert1 -cert f1.cert -fipsKey f1
Done

Después de crear la clave FIPS y el certificado de servidor, puede agregar la configuración SSL genérica. Habilite las funciones necesarias para la implementación. Agregue servidores, servicios y servidores virtuales SSL. Enlace el par de claves de certificado y el servicio al servidor virtual SSL y guarde la configuración.

enable ns feature SSL LB
Done
add server s1 10.217.2.5
Done
add service sr1 s1 HTTP 80
Done
add lb vserver v1 SSL 10.217.2.172 443
Done
bind ssl vserver v1 –certkeyName cert1
Done
bind lb vserver v1 sr1
Done
saveconfig
Done

Para obtener información acerca de cómo configurar HTTPS seguro y RPC seguro, haga clic en aquí.