Citrix ADC

Configurar un dispositivo FIPS por primera vez

Nota

Se requiere un par de claves de certificado para el acceso HTTPS a la utilidad de configuración y para las llamadas seguras a procedimientos remotos. Los nodos RPC son entidades internas del sistema utilizadas para la comunicación de información de configuración y sesión de sistema a sistema. Existe un nodo RPC en cada dispositivo. Este nodo almacena la contraseña, que se compara con la proporcionada por el dispositivo de contacto. Para comunicarse con otros dispositivos Citrix ADC, cada dispositivo requiere conocimiento de los demás dispositivos, incluido cómo autenticarse en el otro dispositivo. Los nodos RPC conservan esta información, que incluye las direcciones IP de los demás dispositivos Citrix ADC y las contraseñas utilizadas para autenticarse en cada uno.

En un dispositivo virtual de dispositivo Citrix ADC MPX, un par de claves de certificado se enlaza automáticamente a los servicios internos. En un dispositivo FIPS, se debe importar un par de claves de certificado en el módulo de seguridad de hardware (HSM) de una tarjeta FIPS. Para hacerlo, debe configurar la tarjeta FIPS, crear un par de claves de certificado y vincularlo a los servicios internos.

Configurar HTTPS seguro mediante la CLI

Para configurar HTTPS seguro mediante la CLI, siga estos pasos

  1. Inicialice el módulo de seguridad de hardware (HSM) en la tarjeta FIPS del dispositivo. Para obtener información sobre la inicialización del HSM, consulte Configurar el HSM.

  2. Si el dispositivo forma parte de una configuración de alta disponibilidad, habilite la SIM. Para obtener información sobre cómo habilitar la SIM en los dispositivos primario y secundario, consulte Configurar dispositivos FIPS en una configuración de alta disponibilidad.

  3. Importe la clave FIPS en el HSM de la tarjeta FIPS del dispositivo. En el símbolo del sistema, escriba:

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. Agregue un par de claves de certificado. En el símbolo del sistema, escriba:

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. Enlace la clave de certificado creada en el paso anterior a los siguientes servicios internos. En el símbolo del sistema, escriba:

    bind ssl service nshttps-127.0.0.1-443 -certkeyname server

    bind ssl service nshttps-::11-443 -certkeyname server

Configurar HTTPS seguro mediante la GUI

Para configurar HTTPS seguro mediante la GUI, siga estos pasos:

  1. Inicialice el módulo de seguridad de hardware (HSM) en la tarjeta FIPS del dispositivo. Para obtener información sobre la inicialización del HSM, consulte Configurar el HSM.

  2. Si el dispositivo forma parte de una configuración de alta disponibilidad, habilite el sistema de información seguro (SIM). Para obtener información sobre cómo habilitar la SIM en los dispositivos primario y secundario, consulte Configurar dispositivos FIPS en una configuración de alta disponibilidad.
  3. Importe la clave FIPS en el HSM de la tarjeta FIPS del dispositivo. Para obtener más información sobre la importación de una clave FIPS, consulte la sección Importar una clave FIPS existente.
  4. Vaya a Administración del tráfico > SSL > Certificados.
  5. En el panel de detalles, haga clic en Instalar.
  6. En el cuadro de diálogo Instalar certificado, escriba los detalles del certificado.
  7. Haga clic en Crear y, a continuación, en Cerrar.
  8. Vaya a Traffic Management > Load Balancing > Services.
  9. En el panel de detalles, en la ficha Acción, haga clic en Servicios internos.
  10. Seleccione nshttps-127.0.0.1-443 en la lista y, a continuación, haga clic en Abrir.
  11. En la ficha Configuración de SSL, en el panel Disponible, seleccione el certificado creado en el paso 7, haga clic en Agregar y, a continuación, haga clic en Aceptar.
  12. Seleccione nshttps-::11-443 en la lista y, a continuación, haga clic en Abrir.
  13. En la ficha Configuración de SSL, en el panel Disponible, seleccione el certificado creado en el paso 7, haga clic en Agregar y, a continuación, haga clic en Aceptar.
  14. Haga clic en Aceptar.

Configurar RPC segura mediante la CLI

Para configurar RPC segura mediante la CLI, siga estos pasos:

  1. Inicialice el módulo de seguridad de hardware (HSM) en la tarjeta FIPS del dispositivo. Para obtener información sobre la inicialización del HSM, consulte Configurar el HSM.

  2. Habilite el sistema de información segura (SIM). Para obtener información sobre cómo habilitar la SIM en los dispositivos primario y secundario, consulte Configurar dispositivos FIPS en una configuración de alta disponibilidad.

  3. Importe la clave FIPS en el HSM de la tarjeta FIPS del dispositivo. En el símbolo del sistema, escriba:

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. Agregue un par de claves de certificado. En el símbolo del sistema, escriba:

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. Enlace el par de claves de certificado a los siguientes servicios internos. En el símbolo del sistema, escriba:

    bind ssl service nsrpcs-127.0.0.1-3008 -certkeyname server

    bind ssl service nskrpcs-127.0.0.1-3009 -certkeyname server

    bind ssl service nsrpcs-::1l-3008 -certkeyname server

  6. Habilite el modo RPC seguro. En el símbolo del sistema, escriba:

    set ns rpcnode \<IP address\> -secure YES

    Para obtener más información sobre cómo cambiar la contraseña de un nodo RPC, consulte Cambiar una contraseña de nodo RPC.

Configurar RPC seguro mediante la interfaz gráfica de usuario

Para configurar RPC segura mediante la GUI, siga estos pasos:

  1. Inicialice el módulo de seguridad de hardware (HSM) en la tarjeta FIPS del dispositivo. Para obtener información sobre la inicialización del HSM, consulte Configurar el HSM.
  2. Habilite el sistema de información segura (SIM). Para obtener información sobre cómo habilitar la SIM en los dispositivos primario y secundario, configure los dispositivos FIPS en una configuración de alta disponibilidad.
  3. Importe la clave FIPS en el HSM de la tarjeta FIPS del dispositivo. Para obtener más información sobre la importación de una clave FIPS, la sección Importar una clave FIPS existente.
  4. Vaya a Administración del tráfico > SSL > Certificados.
  5. En el panel de detalles, haga clic en Instalar.
  6. En el cuadro de diálogo Instalar certificado, escriba los detalles del certificado.
  7. Haga clic en Crear y, a continuación, en Cerrar.
  8. Vaya a Traffic Management > Load Balancing > Services.
  9. En el panel de detalles, en la ficha Acción, haga clic en Servicios internos.
  10. Seleccione nsrpcs-127.0.0.1-3008 de la lista y, a continuación, haga clic en Abrir.
  11. En la ficha Configuración de SSL, en el panel Disponible, seleccione el certificado creado en el paso 7, haga clic en Agregar y, a continuación, haga clic en Aceptar.
  12. Seleccione nskrpcs-127.0.0.1-3009 de la lista y, a continuación, haga clic en Abrir.
  13. En la ficha Configuración de SSL, en el panel Disponible, seleccione el certificado creado en el paso 7, haga clic en Agregar y, a continuación, haga clic en Aceptar.
  14. Seleccione nsrpcs-::11-3008 en la lista y, a continuación, haga clic en Abrir.
  15. En la ficha Configuración de SSL, en el panel Disponible, seleccione el certificado creado en el paso 7, haga clic en Agregar y, a continuación, haga clic en Aceptar.
  16. Haga clic en Aceptar.
  17. Vaya a Sistema > Red > RPC.
  18. En el panel de detalles, seleccione la dirección IP y haga clic en Abrir.
  19. En el cuadro de diálogo Configurar nodo RPC, seleccione Secure.
  20. Haga clic en Aceptar.
Configurar un dispositivo FIPS por primera vez