Citrix ADC

Configurez un dispositif FIPS pour la première fois

Remarque

  • La FAQ FIPS se trouve ici : FAQ FIPS.

Une paire de clés de certificat est requise pour l’accès HTTPS à l’utilitaire de configuration et pour les appels de procédure distante sécurisés. Les nœuds RPC sont des entités système internes utilisées pour la communication système à système des informations de configuration et de session. Un nœud RPC existe sur chaque appliance. Ce nœud stocke le mot de passe, qui est vérifié par rapport à celui fourni par l’appliance de contact. Pour communiquer avec d’autres appliances Citrix ADC, chaque appliance doit connaître les autres appliances, y compris comment s’authentifier sur l’autre appliance. Les nœuds RPC conservent ces informations, qui incluent les adresses IP des autres appliances Citrix ADC et les mots de passe utilisés pour s’authentifier sur chacun d’eux.

Sur une appliance virtuelle Citrix ADC MPX, une paire de clés de certificat est automatiquement liée aux services internes. Sur une appliance FIPS, une paire de clés de certificat doit être importée dans le module de sécurité matérielle (HSM) d’une carte FIPS. Pour ce faire, vous devez configurer la carte FIPS, créer une paire de clés de certificat et la lier aux services internes.

Configurez le protocole HTTPS sécurisé à l’aide de l’interface

Pour configurer un HTTPS sécurisé à l’aide de l’interface de ligne de commande, procédez comme suit

  1. Initialisez le module de sécurité matérielle (HSM) sur la carte FIPS de l’appliance. Pour plus d’informations sur l’initialisation du HSM, voir Configurer le HSM.

  2. Si l’appliance fait partie d’une configuration de haute disponibilité, activez la carte SIM. Pour plus d’informations sur l’activation de la carte SIM sur les appliances principale et secondaire, voir Configurer les appliances FIPS dans une configuration haute disponibilité.

  3. Importez la clé FIPS dans le HSM de la carte FIPS de l’appliance. À l’invite de commandes, tapez :

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. Ajoutez une paire de clés de certificat. À l’invite de commandes, tapez :

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. Liez la clé de certificat créée à l’étape précédente aux services internes suivants. À l’invite de commandes, tapez :

    bind ssl service nshttps-127.0.0.1-443 -certkeyname server

    bind ssl service nshttps-::11-443 -certkeyname server

Configurez le HTTPS sécurisé à l’aide de l’interface graphique

Pour configurer le protocole HTTPS sécurisé à l’aide de l’interface graphique, procédez comme suit :

  1. Initialisez le module de sécurité matérielle (HSM) sur la carte FIPS de l’appliance. Pour plus d’informations sur l’initialisation du HSM, voir Configurer le HSM.

  2. Si l’appliance fait partie d’une configuration de haute disponibilité, activez le système d’information sécurisé (SIM). Pour plus d’informations sur l’activation de la carte SIM sur les appliances principale et secondaire, voir Configurer les appliances FIPS dans une configuration haute disponibilité.
  3. Importez la clé FIPS dans le HSM de la carte FIPS de l’appliance. Pour plus d’informations sur l’importation d’une clé FIPS, reportez-vous à la section Importer une clé FIPS existante .
  4. Accédez à Gestion du trafic > SSL > Certificats.
  5. Dans le volet d’informations, cliquez sur Installer.
  6. Dans la boîte de dialogue Installer le certificat, saisissez les détails du certificat.
  7. Cliquez sur Créer, puis cliquez sur Fermer.
  8. Accédez à Traffic Management > Load Balancing > Services.
  9. Dans le volet d’informations, sous l’onglet Action, cliquez sur Services internes.
  10. Sélectionnez nshttps-127.0.0.1-443dans la liste, puis cliquez sur Ouvrir.
  11. Dans l’onglet Paramètres SSL, dans le volet Disponible, sélectionnez le certificat créé à l’étape 7, cliquez sur Ajouter, puis sur OK.
  12. Sélectionnez nshttps-::11-443dans la liste, puis cliquez sur Ouvrir.
  13. Dans l’onglet Paramètres SSL, dans le volet Disponible, sélectionnez le certificat créé à l’étape 7, cliquez sur Ajouter, puis sur OK.
  14. Cliquez sur OK.

Configurer un RPC sécurisé à l’aide de la CLI

Pour configurer un RPC sécurisé à l’aide de l’interface de ligne de commande, procédez comme suit :

  1. Initialisez le module de sécurité matérielle (HSM) sur la carte FIPS de l’appliance. Pour plus d’informations sur l’initialisation du HSM, voir Configurer le HSM.

  2. Activez le système d’information sécurisé (SIM). Pour plus d’informations sur l’activation de la carte SIM sur les appliances principale et secondaire, voir Configurer les appliances FIPS dans une configuration haute disponibilité.

  3. Importez la clé FIPS dans le HSM de la carte FIPS de l’appliance. À l’invite de commandes, tapez :

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. Ajoutez une paire de clés de certificat. À l’invite de commandes, tapez :

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. Liez la paire de clés de certificat aux services internes suivants. À l’invite de commandes, tapez :

    bind ssl service nsrpcs-127.0.0.1-3008 -certkeyname server

    bind ssl service nskrpcs-127.0.0.1-3009 -certkeyname server

    bind ssl service nsrpcs-::1l-3008 -certkeyname server

  6. Activez le mode RPC sécurisé. À l’invite de commandes, tapez :

    set ns rpcnode \<IP address\> -secure YES

    Pour plus d’informations sur la modification du mot de passe d’un nœud RPC, voir Modifier le mot de passe d’un nœud RPC.

Configurer RPC sécurisé à l’aide de l’interface graphique

Pour configurer un RPC sécurisé à l’aide de l’interface graphique, procédez comme suit :

  1. Initialisez le module de sécurité matérielle (HSM) sur la carte FIPS de l’appliance. Pour plus d’informations sur l’initialisation du HSM, voir Configurer le HSM.
  2. Activez le système d’information sécurisé (SIM). Pour plus d’informations sur l’activation de la carte SIM sur les appliances principale et secondaire, Configurez les appliances FIPS dans une configuration haute disponibilité.
  3. Importez la clé FIPS dans le HSM de la carte FIPS de l’appliance. Pour plus d’informations sur l’importation d’une clé FIPS, consultez la section Importer une clé FIPS existante .
  4. Accédez à Gestion du trafic > SSL > Certificats.
  5. Dans le volet d’informations, cliquez sur Installer.
  6. Dans la boîte de dialogue Installer le certificat, saisissez les détails du certificat.
  7. Cliquez sur Créer, puis cliquez sur Fermer.
  8. Accédez à Traffic Management > Load Balancing > Services.
  9. Dans le volet d’informations, sous l’onglet Action, cliquez sur Services internes.
  10. Sélectionnez nsrpcs-127.0.0.1-3008dans la liste, puis cliquez sur Ouvrir.
  11. Dans l’onglet Paramètres SSL, dans le volet Disponible, sélectionnez le certificat créé à l’étape 7, cliquez sur Ajouter, puis sur OK.
  12. Sélectionnez nskrpcs-127.0.0.1-3009dans la liste, puis cliquez sur Ouvrir.
  13. Dans l’onglet Paramètres SSL, dans le volet Disponible, sélectionnez le certificat créé à l’étape 7, cliquez sur Ajouter, puis sur OK.
  14. Sélectionnez nsrpcs-::11-3008dans la liste, puis cliquez sur Ouvrir.
  15. Dans l’onglet Paramètres SSL, dans le volet Disponible, sélectionnez le certificat créé à l’étape 7, cliquez sur Ajouter, puis sur OK.
  16. Cliquez sur OK.
  17. Accédez à Système > Réseau > RPC.
  18. Dans le volet d’informations, sélectionnez l’adresse IP, puis cliquez sur Ouvrir.
  19. Dans la boîte de dialogue Configurer le nœud RPC, sélectionnez Sécurisé.
  20. Cliquez sur OK.
Configurez un dispositif FIPS pour la première fois