Actualizar el firmware a la versión 2.2 en una tarjeta FIPS

La versión 2.2 del firmware FIPS admite las versiones 1.1 y 1.2 del protocolo TLS. Desde la línea de comandos, puede actualizar la versión de firmware de la tarjeta FIPS de un dispositivo Citrix ADC MPX 9700/10500/12500/15500 FIPS de la versión 1.1 a la versión 2.2.

Para que la propagación de claves SIM sea correcta de primaria a secundaria en un par de alta disponibilidad (HA), la versión del firmware de Cavium en cada dispositivo debe ser idéntica. Realice primero la actualización del firmware en el dispositivo secundario. Si se ejecuta primero en el dispositivo principal, el proceso de actualización de larga duración provoca una conmutación por error.

Limitaciones

  • La renegociación segura solo se admite en servidores virtuales SSL y servicios SSL front-end.
  • Se produce un error al crear una solicitud de firma de certificado mediante una clave creada en la versión 1.1 del firmware y actualizada a la versión 2.2 del firmware.
  • No puede crear una clave RSA de 1024 bits en la versión 2.2 del firmware. Sin embargo, si ha importado o creado una clave FIPS de 1024 bits en la versión 1.1 del firmware y, a continuación, actualiza a la versión 2.2 del firmware, puede usar esa clave FIPS en la versión 2.2 del firmware.
  • Solo se admiten claves RSA de 2048 bits.
  • No se admite el certificado de cliente de 4096 bits (si la autenticación de cliente está habilitada en el servidor back-end).

  • No se admite la renegociación segura mediante el protocolo SSLv3.
  • Después de actualizar el firmware, TLSv1.1 y TLSv1.2 están inhabilitados de forma predeterminada en el servidor virtual existente, los servicios internos, front-end y back-end. Para utilizar TLS 1.1/1.2, debe habilitar explícitamente estos protocolos, en las entidades SSL, después de la actualización.
  • Las claves FIPS que se crean en la versión 2.2 del firmware no están disponibles si se rebaja el firmware a la versión 1.1.

Requisitos previos

Descargue los siguientes archivos desde la página de descarga en www.citrix.com. Los archivos deben almacenarse en el directorio /var/nsinstall del dispositivo.

  • FW 2.2 Archivo: FW-2.2-130013
  • FW 2.2 Archivo de firma: FW-2.2-130013.Sign

FW-2.2-130013 es la versión de firmware recomendada. Incluye correcciones para mejorar DRBG.

Actualizar el firmware de FIPS a la versión 2.2 en un dispositivo independiente

  1. Inicie sesión en el dispositivo mediante las credenciales de administrador.

  2. En el símbolo del sistema, escriba el siguiente comando para confirmar que se ha inicializado la tarjeta FIPS.

    show fips
    
    FIPS HSM Info:
    HSM Label       : Citrix ADC FIPS
    Initialization      : FIPS-140-2 Level-2
    HSM Serial Number   : 3.0G1235-ICM000264
    HSM State       : 2
    HSM Model       : NITROX XL CN1620-NFBE
    
    Hardware Version    : 2.0-G
    Firmware Version    : 1.1
    Firmware Release Date   : Jun04,2010
    
    Max FIPS Key Memory : 3996
    Free FIPS Key Memory    : 3992
    Total SRAM Memory   : 467348
    Free SRAM Memory    : 62512
    Total Crypto Cores  : 3
    Enabled Crypto Cores    : 1
    Done
    
  3. Guarde la configuración. En el símbolo del sistema, escriba:

    save config
    
  4. Realice la actualización. En el símbolo del sistema, escriba:

    update ssl fips -fipsFW <path to the extracted contents>/CN16XX-NFBE-FW-2.2-1300013
    

    Presione Y cuando aparezca el siguiente mensaje:

    This command will update compatible version of the FIPS firmware.  You must save the current configuration (saveconfig) before executing this command. You must reboot the system after execution of this command, for the firmware update to take effect. Do you want to continue?(Y/N)Y
    
    Done
    

Nota: Solo necesita especificar el archivo de firmware, ya que el archivo de firma de firmware se coloca en la misma ubicación.

La actualización tarda hasta 10 segundos. El comando update está bloqueando, lo que significa que no se ejecutan otras acciones hasta que finalice el comando. El símbolo del sistema vuelve a aparecer cuando se completa la ejecución del comando.

  1. Reinicie el dispositivo. En el símbolo del sistema, escriba:

    reboot
    
    Are you sure you want to restart NetScaler (Y/N)? [N]:Y
    
  2. Compruebe que la actualización se ha realizado correctamente. En el símbolo del sistema, escriba:

    show fips
    

    La versión de firmware que se muestra en la salida debe ser 2.2. Por ejemplo:

    sh fips
        FIPS HSM Info:
            HSM Label       : Citrix ADC FIPS
            Initialization      : FIPS-140-2 Level-2
            HSM Serial Number   : 2.1G1207-IC002429
            HSM State       : 2
            HSM Model       : NITROX XL CN1620-NFBE
    
            Hardware Version    : 2.0-G
            Firmware Version    : 2.2
            Firmware Build         : NFBE-FW-2.2-130013
            Max FIPS Key Memory : 3996
            Free FIPS Key Memory    : 3982
            Total SRAM Memory   : 467348
            Free SRAM Memory    : 50472
            Total Crypto Cores  : 3
            Enabled Crypto Cores    : 1
    Done
    

Actualizar el firmware FIPS a la versión 2.2 en dispositivos en un par de alta disponibilidad

  1. Inicie sesión en el nodo secundario y realice la actualización como se describe en “Actualizar el firmware FIPS a la versión 2.2 en un dispositivo independiente”.

    Forzar el nodo secundario a convertirse en primario. En el símbolo del sistema, escriba:

    force failover
    

    Pulse Y en el mensaje de confirmación.

  2. Inicie sesión en el nuevo nodo secundario (antiguo primario) y realice la actualización como se describe en “Actualizar el firmware FIPS a la versión 2.2 en un dispositivo independiente”.

  3. Forzar el nuevo nodo secundario para que vuelva a ser primario. En el símbolo del sistema, escriba:

    force failover
    

    Pulse Y en el mensaje de confirmación.

Actualizar el firmware de FIPS a la versión 1.1 en un dispositivo independiente

  1. Descargue los archivos nfb_firmware-r1235_100604 y nfb_firmware-r1235_100604.sign, en el mismo directorio del dispositivo, desde la página de descarga de www.citrix.com.

  2. Inicie sesión en el dispositivo mediante las credenciales de administrador.

  3. En el símbolo del sistema, escriba:

    update ssl fips -fipsFW /<full path to the file>/nfb_firmware-r1235_100604