Créer une clé FIPS pour une instance sur une appliance FIPS SDX 14030/14060/14080

Vous pouvez créer une clé FIPS sur votre instance ou importer une clé FIPS existante dans l’instance. Une appliance FIPS SDX 14030/14060/14080 ne prend en charge que les clés 2048 bits et 3072 bits et une valeur exposant F4. Pour les clés PEM, un exposant n’est pas requis. Vérifiez que la clé FIPS est créée correctement. Créez une demande de signature de certificat et un certificat de serveur. Enfin, ajoutez la paire de clés de certificat à votre instance.

Remarque :

Les clés 1024 bits et 4096 bits et une valeur exposant de 3 ne sont pas prises en charge.

Créer une clé FIPS à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

create ssl fipsKey <fipsKeyName> -keytype ( RSA | ECDSA ) [-exponent (3 | F4 )] [-modulus <positive_integer>] [-curve ( P_256 | P_384 )]

Exemple :

create fipsKey f1 -keytype RSA -modulus 2048 -exponent F4

Done

show ssl fipskey ddvws

FIPS Key Name: f1  Key Type: RSA Modulus: 2048   Public Exponent: F4 (Hex: 0x10001)

Done

Importer une clé FIPS à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

import ssl fipsKey <fipsKeyName> -key <string> [-inform <inform>] [-wrapKeyName <string>] [-iv<string>] [-exponent F4 ]

Exemple :

import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform SIM -exponent F4
Done
import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform PEM
Done

Vérifiez que la clé FIPS est créée ou importée correctement en exécutant la commande show fipskey.

show fipskey
1)      FIPS Key Name: Key-FIPS-2
Done

Créer une demande de signature de certificat à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

create ssl certReq <reqFile> (-keyFile <input_filename> | -fipsKeyName <string>) [-keyform ( DER | PEM )  {-PEMPassPhrase }] -countryName <string> -stateName <string> -organizationName<string> [-organizationUnitName <string>] [-localityName <string>] [-commonName <string>] [-emailAddress <string>] {-challengePassword } [-companyName <string>] [-digestMethod ( SHA1 | SHA256 )]

Exemple :

create certreq f1.req –fipsKeyName f1 -countryName US -stateName CA -organizationName Citrix -companyName Citrix -commonName ctx -emailAddress test@example.com`
`Done

Créer un certificat de serveur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

create ssl cert <certFile> <reqFile> <certType> [-keyFile <input_filename>] [-keyform ( DER | PEM ) {-PEMPassPhrase }] [-days <positive_integer>] [-certForm ( DER | PEM )] [-CAcert <input_filename>] [-CAcertForm ( DER | PEM )] [-CAkey <input_filename>] [-CAkeyForm ( DER | PEM )] [-CAserial <output_filename>]

Exemple :

create cert f1.cert f1.req SRVR_CERT -CAcert ns-root.cert -CAkey ns-root.key -CAserial ns-root.srl -days 1000
Done

L’exemple ci-dessus crée un certificat de serveur à l’aide d’une autorité de certification racine locale sur l’appliance.

Ajouter une paire de clés de certificat à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add ssl certKey <certkeyName> (-cert <string> [-password]) [-key <string> | -fipsKey <string> | -hsmKey <string>] [-inform <inform>] [-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod   <positive_integer>]] [-bundle ( YES | NO )]

Exemple :

add certkey cert1 -cert f1.cert -fipsKey f1
Done

Après avoir créé la clé FIPS et le certificat de serveur, vous pouvez ajouter la configuration SSL générique. Activez les fonctionnalités requises pour votre déploiement. Ajoutez des serveurs, des services et des serveurs virtuels SSL. Liez la paire de clés de certificat et le service au serveur virtuel SSL et enregistrez la configuration.

enable ns feature SSL LB
Done
add server s1 10.217.2.5
Done
add service sr1 s1 HTTP 80
Done
add lb vserver v1 SSL 10.217.2.172 443
Done
bind ssl vserver v1 –certkeyName cert1
Done
bind lb vserver v1 sr1
Done
saveconfig
Done

Pour plus d’informations sur la configuration du protocole HTTPS sécurisé et du RPC sécurisé, cliquez surici.