Citrix ADC

Appliances MPX 14000 FIPS

Important :

Les étapes de configuration des appliances FIPS NetScaler MPX 14000 et NetScaler MPX 9700/10500/12500/15500 sont différentes. Les appliances MPX 14000 FIPS n’utilisent pas le firmware v2.2. Une clé FIPS créée sur le HSM de la plate-forme MPX 9700 ne peut pas être transférée vers HSM de la plate-forme MPX 14000 et vice versa. Toutefois, si vous avez importé une clé RSA en tant que clé FIPS, vous pouvez copier la clé RSA sur la plate-forme MPX 14000, puis l’importer en tant que clé FIPS. Seules les clés 2048 bits et 3072 bits sont prises en charge.

Un appareil FIPS est équipé d’un module cryptographique inviolable (inviolable) — un Cavium CNN3560-NFBE-G — conçu pour répondre aux spécifications FIPS 140-2 Niveau 3 (de la version 12.0 build 56.x). Les paramètres de sécurité critiques (CSP), principalement la clé privée du serveur, sont stockés et générés en toute sécurité à l’intérieur du module cryptographique, également appelé Hardware Security Module (HSM). Les CSP ne sont jamais accessibles à l’extérieur des limites du HSM. Seul le superutilisateur (nsroot) peut effectuer des opérations sur les clés stockées dans le HSM.

Avant de configurer un dispositif FIPS, vous devez vérifier l’état de la carte FIPS, puis initialiser la carte. Créez une clé FIPS et un certificat de serveur, et ajoutez toute configuration SSL supplémentaire.

Pour plus d’informations sur les chiffrements FIPS pris en charge, reportez-vous à la section Algorithmes et chiffrements approuvés par FIPS.

Pour plus d’informations sur la configuration des appliances FIPS dans une configuration haute disponibilité, reportez-vous à la section Configuration des appliances FIPS dans une configuration haute disponibilité.

Limitations

  1. La renégociation SSL à l’aide du protocole SSLv3 n’est pas prise en charge sur le back-end d’une appliance MPX FIPS.
  2. Les clés 1024 bits et 4096 bits et la valeur de l’exposant de 3 ne sont pas prises en charge.
  3. Le certificat de serveur 4096 bits n’est pas pris en charge.
  4. Le certificat client 4096 bits n’est pas pris en charge (si l’authentification client est activée sur le serveur principal).

Configurer le HSM

Avant de configurer le HSM sur un matériel FIPS MPX 14000, vérifiez l’état de votre carte FIPS pour vérifier que le pilote s’est correctement chargé. Ensuite, initialisez la carte.

À l’invite de commandes, tapez :

show fips

FIPS Card is not configured
Done

Le message « ERREUR : Opération non autorisée - aucune carte FIPS présente dans le système » s’affiche si le pilote n’est pas chargé correctement.

Initialiser la carte FIPS

L’appliance doit être redémarrée trois fois pour une initialisation correcte de la carte FIPS.

Important

  • Vérifiez que le répertoire /nsconfig/fips a été créé avec succès sur l’appliance.
  • N’enregistrez pas la configuration avant de redémarrer l’appliance pour la troisième fois.

Effectuez les étapes suivantes pour initialiser la carte FIPS :

  1. Réinitialisez la carte FIPS.
  2. Redémarrez l’appliance.
  3. Définissez le mot de passe de l’agent de sécurité pour les partitions 0 et 1, et le mot de passe utilisateur pour la partition

    Remarque : L’exécution de la commande set ou reset prend plus de 60 secondes.

  4. Enregistrez la configuration.
  5. Vérifiez que la clé chiffrée par mot de passe de la partition maître (master_pek.key) a été créée dans le répertoire /nsconfig/fips/.
  6. Redémarrez l’appliance.
  7. Vérifiez que la clé chiffrée par mot de passe de la partition par défaut (default_pek.key) a été créée dans le répertoire /nsconfig/fips/.
  8. Redémarrez l’appliance.
  9. Vérifiez que la carte FIPS est UP.

Initialisez la carte FIPS à l’aide de l’interface de ligne de commande

La commande set fips initialise le module de sécurité matérielle (HSM) sur la carte FIPS et définit un nouveau mot de passe d’agent de sécurité et un nouveau mot de passe utilisateur.

Attention : Cette commande efface toutes les données de la carte FIPS. Vous êtes invité avant de procéder à l’exécution de la commande. Un redémarrage est nécessaire avant et après l’exécution de cette commande pour que les modifications soient appliquées. Enregistrez la configuration après l’exécution de cette commande et avant de redémarrer l’appliance.

À l’invite de commandes, tapez les commandes suivantes :

reset fips
 Done

reboot

set fips -initHSM Level-2 so12345 so12345 user123 -hsmLabel NSFIPS

This command will erase all data on the FIPS card. You must save the configuration (saveconfig) after executing this command. Do you want to continue?(Y/N)y

Done

Remarque : Le message suivant s’affiche lorsque vous exécutez la commande set fips :

This command will erase all data on the FIPS card. You must save the configuration (saveconfig) after executing this command. [Note: On MPX/SDX 14xxx FIPS platform, the FIPS security is at Level-3 by default, and the -initHSM Level-2 option is internally converted to Level-3]  Do you want to continue?(Y/N)y

saveconfig
Done

reboot

reboot

show fips

        FIPS HSM Info:
                 HSM Label              : NetScaler FIPS
                 Initialization         : FIPS-140-2 Level-3
                 HSM Serial Number      : 3.1G1836-ICM000136
                 HSM State              : 2
                 HSM Model              : NITROX-III CNN35XX-NFBE
                 Hardware Version       : 0.0-G
                 Firmware Version       : 1.0
                 Firmware Build         : NFBE-FW-1.0-48
                 Max FIPS Key Memory    : 102235
                 Free FIPS Key Memory   : 102231
                 Total SRAM Memory      : 557396
                 Free SRAM Memory       : 262780
                 Total Crypto Cores     : 63
                 Enabled Crypto Cores   : 63
 Done

Créer des clés FIPS

Vous pouvez créer une clé FIPS sur votre appliance FIPS MPX 14000 ou importer une clé FIPS existante dans l’appliance. L’appliance MPX 14000 FIPS prend en charge uniquement les clés 2048 bits et 3072 bits et une valeur exposant F4 (dont la valeur est 65537). Pour les clés PEM, un exposant n’est pas requis. Vérifiez que la clé FIPS est créée correctement. Créez une demande de signature de certificat et un certificat de serveur. Enfin, ajoutez la paire de clés de certificat à votre appliance.

Spécifiez le type de clé (RSA ou ECDSA). Pour les clés ECDSA, spécifiez uniquement la courbe.

Remarque

Les clés 1024 bits et 4096 bits et une valeur exposant de 3 ne sont pas prises en charge.

Créer une clé FIPS à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

create ssl fipsKey <fipsKeyName> -keytype ( RSA | ECDSA ) [-exponent ( 3 | F4 )] [-modulus <positive_integer>] [-curve ( P_256 | P_384 )]

Example1:

create fipsKey f1 -keytype RSA -modulus 2048 -exponent F4
Done

show ssl fipskey f1

FIPS Key Name: f1  Key Type: RSA Modulus: 2048   Public Exponent: F4 (Hex: 0x10001)
Done

Example2:

> create fipskey f2 -keytype ECDSA -curve P_256
 Done

> sh fipskey f2
    FIPS Key Name: f2   Key Type: ECDSA Curve: P_256
 Done

Importer une clé FIPS à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

import ssl fipsKey <fipsKeyName> -key <string> [-inform <inform>] [-wrapKeyName <string>] [-iv<string>] -exponent  F4 ]

Exemple :

import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform SIM -exponent F4
Done

import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform PEM
Done

Vérifiez que la clé FIPS est créée ou importée correctement en exécutant la commande show fipskey.

show fipskey
1)      FIPS Key Name: Key-FIPS-2
Done

Créer une demande de signature de certificat à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

create ssl certReq <reqFile> (-keyFile <input_filename> | -fipsKeyName <string>) [-keyform ( DER | PEM )  {-PEMPassPhrase }] -countryName <string> -stateName <string> -organizationName<string> [-organizationUnitName <string>] [-localityName <string>] [-commonName <string>] [-emailAddress <string>] {-challengePassword } [-companyName <string>] [-digestMethod ( SHA1 | SHA256 )]

Exemple :

>create certreq f1.req –fipsKeyName  f1 -countryName US  -stateName CA -organizationName Citrix -companyName Citrix -commonName ctx -emailAddress test@example.com
Done

Créer un certificat de serveur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

create ssl cert <certFile> <reqFile> <certType> [-keyFile <input_filename>] [-keyform ( DER | PEM ) {-PEMPassPhrase }] [-days <positive_integer>] [-certForm ( DER | PEM )] [-CAcert <input_filename>] [-CAcertForm ( DER | PEM )] [-CAkey <input_filename>][-CAkeyForm ( DER | PEM )] [-CAserial <output_filename>]

Exemple :

create cert f1.cert f1.req SRVR_CERT -CAcert ns-root.cert -CAkey ns-root.key -CAserial ns-root.srl -days 1000
Done

L’exemple précédent crée un certificat de serveur à l’aide d’une autorité de certification racine locale sur l’appliance.

Ajouter une paire de clés de certificat à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add ssl certKey <certkeyName> (-cert <string> [-password]) [-key <string> | -fipsKey <string> | -hsmKey <string>] [-inform <inform>][-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod <positive_integer>]] [-bundle ( YES | NO )]

Exemple :

add certkey cert1 -cert f1.cert -fipsKey f1
Done

Après avoir créé la clé FIPS et le certificat de serveur, vous pouvez ajouter la configuration SSL générique. Activez les fonctionnalités requises pour votre déploiement. Ajoutez des serveurs, des services et des serveurs virtuels SSL. Liez la paire de clés de certificat et le service au serveur virtuel SSL. Enregistrez la configuration.

enable ns feature SSL LB
Done

add server s1 10.217.2.5
Done

add service sr1 s1 HTTP 80
Done

add lb vserver v1 SSL 10.217.2.172 443
Done

bind ssl vserver v1 –certkeyName cert1
Done

bind lb vserver v1 sr1
Done

 saveconfig
Done

La configuration de base de votre appliance MPX 14000 FIPS est maintenant terminée.

Pour plus d’informations sur la configuration du protocole HTTPS sécurisé, cliquez sur ici.

Pour plus d’informations sur la configuration de RPC sécurisé, cliquez sur ici.

Mettre à jour la licence sur un dispositif FIPS MPX 14000

Toute mise à jour de la licence sur cette plate-forme nécessite deux redémarrages.

  1. Mettez à jour la licence dans le dossier /nsconfig/license.
  2. Redémarrez l’appliance.
  3. Ouvrez une session sur l’appliance.
  4. Redémarrez l’appliance. Remarque : N’ajoutez pas de nouvelles commandes, enregistrez la configuration ou vérifiez l’état du système avant le deuxième redémarrage.
  5. Ouvrez une session sur l’appliance et assurez-vous que FIPS est initialisé en exécutant la commande show ssl fips.

Prise en charge du mode FIPS hybride sur les plates-formes FIPS MPX 14000 et SDX 14000 FIPS

Remarque :

Cette fonctionnalité est prise en charge uniquement sur la nouvelle plate-forme FIPS MPX/SDX 14000 contenant une carte FIPS principale et une ou plusieurs cartes secondaires. Il n’est pas pris en charge sur une plate-forme VPX ou une plate-forme ne contenant qu’un seul type de carte matérielle.

Sur une plate-forme FIPS, le chiffrement et le décryptage (asymétrique et symétrique) sont effectués sur la carte FIPS pour des raisons de sécurité. Cependant, vous pouvez effectuer une partie de cette activité (asymétrique) sur une carte FIPS et décharger le chiffrement et le décryptage en bloc (symétrique) sur une autre carte sans compromettre la sécurité de vos clés.

La nouvelle plateforme FIPS MPX/SDX 14000 contient une carte principale et une ou plusieurs cartes secondaires. Si vous activez le mode FIPS hybride, les commandes de déchiffrement secret pré-master sont exécutées sur la carte primaire car la clé privée est stockée sur cette carte. Toutefois, le chiffrement et le déchiffrement en bloc sont déchargés sur la carte secondaire. Ce déchargement augmente considérablement le débit de chiffrement en masse sur une plate-forme FIPS MPX/SDX 14000 par rapport au mode FIPS non hybride et à la plate-forme FIPS MPX 9700/10500/12500/15000 existante. L’activation du mode FIPS hybride améliore également la transaction SSL par seconde sur cette plate-forme.

Remarques :

  • Le mode FIPS hybride est désactivé par défaut pour répondre aux exigences strictes de certification où tout le calcul de crypto doit être effectué à l’intérieur d’un module certifié FIPS. Activez le mode hybride pour décharger le chiffrement et le déchiffrement en bloc sur la carte secondaire.

  • Sur une plate-forme FIPS SDX 14000, vous devez d’abord attribuer une puce SSL à l’instance VPX avant d’activer le mode hybride.

Activer le mode FIPS hybride à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

set SSL parameter -hybridFIPSMode {ENABLED|DISABLED}

Arguments

hybridFIPSMode

When this mode is enabled, system will use additional crypto hardware to accelerate symmetric crypto operations.

Possible values: ENABLED, DISABLED

Default value: DISABLED

Exemple :

    set SSL parameter -hybridFIPSMode ENABLED
    show SSL parameter
    Advanced SSL Parameters
    -----------------------
    . . . . . . . . . . . .
    Hybrid FIPS Mode    : ENABLED
    . . . . . . . . . . . .
    Done

Activer le mode FIPS hybride à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > SSL.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres SSL avancés.
  3. Dans la boîte de dialogue Modifier les paramètres SSL avancés, sélectionnez Mode FIPS hybride.

Limites :

  1. La renégociation n’est pas prise en charge.

  2. La commande stat ssl parameter sur une plate-forme SDX 14000 n’affiche pas le pourcentage correct d’utilisation de la carte secondaire. Il affiche toujours 0,00% d’utilisation.

stat ssl

SSL Summary
# SSL cards present 1
# SSL cards UP  1
# Secondary SSL cards present   4
# Secondary SSL cards UP    4
SSL engine status      1
SSL sessions (Rate)     963
Secondary card utilization (%)     0.00