Configurar dispositivos FIPS en una configuración de alta disponibilidad

Puede configurar dos dispositivos en un par de alta disponibilidad (HA) como dispositivos FIPS. Para obtener información sobre la configuración de una configuración de alta disponibilidad, consulte Alta disponibilidad.

Nota: Citrix recomienda utilizar la utilidad de configuración (GUI) para este procedimiento. Si utiliza la línea de comandos (CLI), asegúrese de seguir cuidadosamente los pasos enumerados en el procedimiento. Si se cambia el orden de los pasos o se especifica un archivo de entrada incorrecto, puede producirse una incoherencia que requiera reiniciar el dispositivo. Además, si utiliza la CLI, el comando create ssl fipskey no se propaga al nodo secundario. Cuando ejecuta el comando con los mismos valores de entrada para el tamaño del módulo y el exponente en dos dispositivos FIPS diferentes, las claves generadas no son idénticas. Debe crear la clave FIPS en uno de los nodos y luego transferirla al otro nodo. Pero si utiliza la utilidad de configuración para configurar dispositivos FIPS en una configuración de alta disponibilidad, la clave FIPS que cree se transfiere automáticamente al nodo secundario. El proceso de gestión y transferencia de las claves FIPS se conoce como gestión segura de la información (SIM).

Importante: En los dispositivos FIPS MPX 9700/10500/12500/15500, la configuración de HA debe completarse en un plazo de seis minutos. Si el proceso tarda más de seis minutos, el temporizador interno de la tarjeta FIPS caduca y aparece el siguiente mensaje de error:

ERROR: Se ha agotado el tiempo de espera o se ha repetido la operación, espere 10 minutos y vuelva a hacer los pasos de configuración SIM/HA.

Si aparece este mensaje, reinicie el dispositivo o espere 10 minutos y, a continuación, repita el procedimiento de instalación de HA.

En el procedimiento siguiente, el dispositivo A es el nodo principal y el dispositivo B es el nodo secundario.

Configurar dispositivos FIPS en una configuración de alta disponibilidad mediante la CLI

  1. En el dispositivo A, abra una conexión SSH al dispositivo mediante un cliente SSH, como PuTTY.

  2. Inicie sesión en el dispositivo con las credenciales de administrador.

  3. Inicialice el dispositivo A como dispositivo de origen. En el símbolo del sistema, escriba:

    init ssl fipsSIMsource <certFile>
    
  4. Copie este archivo <certFile> en el dispositivo B, en la carpeta /nconfig/ssl.

  5. En el dispositivo B, abra una conexión SSH con el dispositivo a través de un cliente SSH, como PuTTY.

  6. Inicie sesión en el dispositivo con las credenciales de administrador.

  7. Inicialice el dispositivo B como dispositivo de destino. En el símbolo del sistema, escriba:

    init ssl fipsSIMtarget <certFile> <keyVector> <targetSecret>
    
  8. Copie este archivo <targetSecret> en el dispositivo A.

  9. En el dispositivo A, habilite el dispositivo A como dispositivo de origen. En el símbolo del sistema, escriba:

    enable ssl fipsSIMSource <targetSecret> <sourceSecret>
    
  10. Copie este archivo <sourceSecret> en el dispositivo B.

  11. En el dispositivo B, habilite el dispositivo B como dispositivo de destino. En el símbolo del sistema, escriba:

    enable ssl fipsSIMtarget <keyVector> <sourceSecret>
    
  12. En el dispositivo A, cree una clave FIPS, como se describe en Crear una clave FIPS.

  13. Exporte la clave FIPS al disco duro del dispositivo, como se describe en Exportar una clave FIPS.

  14. Copie la clave FIPS en el disco duro del dispositivo secundario mediante una utilidad de transferencia segura de archivos, como SCP.

  15. En el dispositivo B, importe la clave FIPS del disco duro al HSM del dispositivo, como se describe en Importar una clave FIPS existente.

Configure los dispositivos FIPS en una configuración de alta disponibilidad mediante la interfaz gráfica de usuario

  1. En el dispositivo que se va a configurar como dispositivo de origen, vaya a Administración del tráfico > SSL > FIPS.
  2. En el panel de detalles, en la ficha Información FIPS, haga clic en Habilitar SIM.
  3. En el cuadro de diálogo Habilitar par HA para SIM, en el cuadro de texto Nombre de archivo de certificado, escriba el nombre de archivo con la ruta de acceso a la ubicación en la que se debe almacenar el certificado FIPS en el dispositivo de origen.
  4. En el cuadro de texto Nombre de archivo vectorial de clave, escriba el nombre del archivo con la ruta de acceso a la ubicación en la que debe almacenarse el vector de clave FIPS en el dispositivo de origen.
  5. En el cuadro de texto Nombre de archivo secreto de destino, escriba la ubicación para almacenar los datos secretos en el dispositivo de destino.
  6. En el cuadro de texto Nombre de archivo secreto de origen, escriba la ubicación para almacenar los datos secretos en el dispositivo de origen.
  7. Haga clic en Aceptar. Los dispositivos FIPS ahora están configurados en modo HA.
  8. Cree una clave FIPS, como se describe en Crear una clave FIPS. La clave FIPS se transfiere automáticamente de la primaria a la secundaria.

El siguiente diagrama resume el proceso de transferencia.

Imagen 1. Transferir el resumen clave FIPS

sim-proceso-detalle