Configurer une appliance FIPS pour la première fois

Une paire de clés de certificat est requise pour l’accès HTTPS à l’utilitaire de configuration et pour les appels de procédure distante sécurisés. Les nœuds RPC sont des entités système internes utilisées pour la communication système à système des informations de configuration et de session. Un nœud RPC existe sur chaque appliance. Ce nœud stocke le mot de passe, qui est comparé à celui fourni par l’appliance contactant. Pour communiquer avec d’autres appliances Citrix ADC, chaque appliance requiert une connaissance des autres appliances, y compris la manière de s’authentifier sur l’autre appliance. Les nœuds RPC conservent ces informations, qui incluent les adresses IP des autres appliances Citrix ADC et les mots de passe utilisés pour s’authentifier sur chacun d’eux.

Sur une appliance virtuelle Citrix ADC MPX, une paire de clés de certificat est automatiquement liée aux services internes. Sur une appliance FIPS, une paire de clés de certificat doit être importée dans le module de sécurité matérielle (HSM) d’une carte FIPS. Pour ce faire, vous devez configurer la carte FIPS, créer une paire de clés de certificat et la lier aux services internes.

Configurer HTTPS sécurisé à l’aide de l’interface de ligne de commande

Pour configurer HTTPS sécurisé à l’aide de l’interface de ligne de commande, procédez comme suit :

  1. Initialisez le module de sécurité matérielle (HSM) sur la carte FIPS de l’appliance. Pour plus d’informations sur l’initialisation du HSM, reportez-vous à la section Configurer le HSM.

  2. Si l’appliance fait partie d’une configuration de haute disponibilité, activez la carte SIM. Pour plus d’informations sur l’activation de la carte SIM sur les appliances primaires et secondaires, reportez-vous à la section “Configurer les appliances FIPS dans une configuration haute disponibilité.

  3. Importez la clé FIPS dans le HSM de la carte FIPS de l’appliance. À l’invite de commandes, tapez :

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. Ajoutez une paire de clés de certificat. À l’invite de commandes, tapez :

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. Liez la clé de certificat créée à l’étape précédente aux services internes suivants. À l’invite de commandes, tapez :

    bind ssl service nshttps-127.0.0.1-443 -certkeyname serveur

    bind ssl service nshttps- : :11-443 -certkeyname serveur

Configurer HTTPS sécurisé à l’aide de l’interface graphique

Pour configurer HTTPS sécurisé à l’aide de l’interface graphique, procédez comme suit :

  1. Initialisez le module de sécurité matérielle (HSM) sur la carte FIPS de l’appliance. Pour plus d’informations sur l’initialisation du HSM, reportez-vous à la section Configurer le HSM.

  2. Si l’appliance fait partie d’une configuration de haute disponibilité, activez le système d’information sécurisé (SIM). Pour plus d’informations sur l’activation de la carte SIM sur les appliances principales et secondaires, reportez-vous à la section Configurer les appliances FIPS dans une configuration haute disponibilité.
  3. Importez la clé FIPS dans le HSM de la carte FIPS de l’appliance. Pour plus d’informations sur l’importation d’une clé FIPS, consultez laImporter une clé FIPS existantesection.
  4. Accédez à Gestion du trafic > SSL > Certificats.
  5. Dans le volet d’informations, cliquez sur Installer.
  6. Dans la boîte de dialogue Installer le certificat, tapez les détails du certificat.
  7. Cliquez sur Créer, puis sur Fermer.
  8. Accédez à Gestion du trafic > Équilibrage de charge > Services.
  9. Dans le volet d’informations, sous l’onglet Action, cliquez sur Services internes.
  10. Sélectionnez nshttps-127.0.0.1-443 dans la liste, puis cliquez sur Ouvrir.
  11. Sous l’onglet Paramètres SSL, dans le volet Disponible, sélectionnez le certificat créé à l’étape 7, cliquez sur Ajouter, puis cliquez sur OK.
  12. Sélectionnez nshttps- : :11-443 dans la liste, puis cliquez sur Ouvrir.
  13. Sous l’onglet Paramètres SSL, dans le volet Disponible, sélectionnez le certificat créé à l’étape 7, cliquez sur Ajouter, puis cliquez sur OK.
  14. Cliquez sur OK.

Configurer RPC sécurisé à l’aide de l’interface de ligne de commande

Pour configurer RPC sécurisé à l’aide de l’interface de ligne de commande, procédez comme suit :

  1. Initialisez le module de sécurité matérielle (HSM) sur la carte FIPS de l’appliance. Pour plus d’informations sur l’initialisation du HSM, reportez-vous à la section Configurer le HSM.

  2. Activez le système d’information sécurisé (SIM). Pour plus d’informations sur l’activation de la carte SIM sur les appliances principales et secondaires, reportez-vous à la section Configurer les appliances FIPS dans une configuration haute disponibilité.

  3. Importez la clé FIPS dans le HSM de la carte FIPS de l’appliance. À l’invite de commandes, tapez :

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. Ajoutez une paire de clés de certificat. À l’invite de commandes, tapez :

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. Liez la paire de clés de certificat aux services internes suivants. À l’invite de commandes, tapez :

    bind ssl service nsrpcs-127.0.0.1-3008 -certkeyname server

    bind ssl service nskrpcs-127.0.0.1-3009 -certkeyname server

    bind ssl service nsrpcs-::1l-3008 -certkeyname server

  6. Activez le mode RPC sécurisé. À l’invite de commandes, tapez :

    set ns rpcnode <IP address> -secure OUI

    Pour plus d’informations sur la modification du mot de passe d’un nœud RPC, reportez-vous à la sectionModifier le mot de passe d’un nœud RPC.

Configurer RPC sécurisé à l’aide de l’interface graphique

Pour configurer RPC sécurisé à l’aide de l’interface graphique, procédez comme suit :

  1. Initialisez le module de sécurité matérielle (HSM) sur la carte FIPS de l’appliance. Pour plus d’informations sur l’initialisation du HSM, reportez-vous à la section Configurer le HSM.
  2. Activez le système d’information sécurisé (SIM). Pour plus d’informations sur l’activation de la carte SIM sur les appliances primaires et secondaires,Configurer les appliances FIPS dans une configuration haute disponibilité.
  3. Importez la clé FIPS dans le HSM de la carte FIPS de l’appliance. Pour plus d’informations sur l’importation d’une clé FIPS, consultez laImporter une clé FIPS existantesection.
  4. Accédez à Gestion du trafic > SSL > Certificats.
  5. Dans le volet d’informations, cliquez sur Installer.
  6. Dans la boîte de dialogue Installer le certificat, tapez les détails du certificat.
  7. Cliquez sur Créer, puis sur Fermer.
  8. Accédez à Gestion du trafic > Équilibrage de charge > Services.
  9. Dans le volet d’informations, sous l’onglet Action, cliquez sur Services internes.
  10. Sélectionnez nsrpcs-127.0.0.1-3008 dans la liste, puis cliquez sur Ouvrir.
  11. Sous l’onglet Paramètres SSL, dans le volet Disponible, sélectionnez le certificat créé à l’étape 7, cliquez sur Ajouter, puis cliquez sur OK.
  12. Sélectionnez nskrpcs-127.0.0.1-3009 dans la liste, puis cliquez sur Ouvrir.
  13. Sous l’onglet Paramètres SSL, dans le volet Disponible, sélectionnez le certificat créé à l’étape 7, cliquez sur Ajouter, puis cliquez sur OK.
  14. Sélectionnez nsrpcs- : :11-3008 dans la liste, puis cliquez sur Ouvrir.
  15. Sous l’onglet Paramètres SSL, dans le volet Disponible, sélectionnez le certificat créé à l’étape 7, cliquez sur Ajouter, puis cliquez sur OK.
  16. Cliquez sur OK.
  17. Accédez à Système > Réseau > RPC.
  18. Dans le volet d’informations, sélectionnez l’adresse IP, puis cliquez sur Ouvrir.
  19. Dans la boîte de dialogue Configurer le nœud RPC, sélectionnez Sécurisé.
  20. Cliquez sur OK.