Citrix ADC

Appareils FIPS MPX 9700/10500/12500/15500

Le Federal Information Processing Standard (FIPS), publié par le National Institute of Standards and Technologies des États-Unis, précise les exigences de sécurité d’un module cryptographique utilisé dans un système de sécurité. L’appliance Citrix ADC FIPS est conforme à la deuxième version de cette norme, FIPS-140-2.

Note : Désormais, toutes les références à FIPS impliquent FIPS-140-2.

L’appareil FIPS est équipé d’un module cryptographique inviolable (inviolable) et d’un Cavium CN1620-NFBE3-2.0-G sur les appareils FIPS MPX 9700/10500/12500/15500, conçus pour répondre aux spécifications FIPS 140-2 de niveau 2. Les paramètres de sécurité critiques (CSP), principalement la clé privée du serveur, sont stockés et générés en toute sécurité à l’intérieur du module cryptographique, également appelé Hardware Security Module (HSM). Les CSP ne sont jamais accessibles à l’extérieur des limites du HSM. Seul le superutilisateur (nsroot) peut effectuer des opérations sur les clés stockées dans le HSM.

Le tableau suivant résume les différences entre les appliances Citrix ADC standard et Citrix ADC FIPS.

Paramètre Appliance Citrix ADC Appliance Citrix ADC FIPS
Stockage des clés Sur le disque dur Sur la carte FIPS
Prise en charge du chiffrement Tous les chiffrements Ciphers approuvés par FIPS
Accès aux clés A partir du disque dur Non accessible

La configuration d’une appliance FIPS implique la configuration du HSM immédiatement après la fin du processus de configuration générique. Vous créez ou importez ensuite une clé FIPS. Après avoir créé une clé FIPS, vous devez l’exporter pour la sauvegarde. Vous devrez peut-être également exporter une clé FIPS afin de pouvoir l’importer dans un autre dispositif. Par exemple, pour configurer les appliances FIPS dans une configuration haute disponibilité (HA), il faut transférer la clé FIPS du nœud principal vers le nœud secondaire immédiatement après avoir terminé la configuration standard HA.

Vous pouvez mettre à niveau la version du firmware sur la carte FIPS de la version 4.6.0 à 4.6.1, et vous pouvez réinitialiser un HSM qui a été verrouillé pour empêcher une ouverture de session non autorisée. Seuls les chiffrements approuvés par FIPS sont pris en charge sur une appliance Citrix ADC FIPS.

Configuration HSM

Avant de pouvoir configurer le HSM de votre appliance Citrix ADC FIPS, vous devez terminer la configuration matérielle initiale. Pour plus d’informations sur les appliances MPX, reportez-vous à la section Configuration initiale. Pour plus d’informations sur les appliances SDX, cliquez surici.

La configuration du HSM de votre appliance Citrix ADC FIPS efface toutes les données existantes sur le HSM. Pour configurer le HSM, vous devez être connecté à l’appliance en tant que superutilisateur (compte nsroot). Le HSM est préconfiguré avec des valeurs par défaut pour le mot de passe Security Officer (SO) et le mot de passe utilisateur, que vous utilisez pour configurer le HSM ou réinitialiser un HSM verrouillé. La longueur maximale autorisée pour le mot de passe est de 14 caractères alphanumériques. Les symboles ne sont pas autorisés.

Important : n’exécutez pas la commande set ssl fips sans d’abord réinitialiser la carte FIPS et redémarrer l’appliance MPX FIPS.

Bien que l’appliance FIPS puisse être utilisée avec les valeurs de mot de passe par défaut, vous devez les modifier avant de l’utiliser. Le HSM ne peut être configuré que lorsque vous ouvrez une session sur l’appliance en tant que superutilisateur et spécifiez les mots de passe SO et utilisateur.

Important : en raison de contraintes de sécurité, l’appliance ne permet pas de récupérer le mot de passe SO. Stockez une copie du mot de passe en toute sécurité. Si vous devez réinitialiser le HSM, vous devrez spécifier ce mot de passe comme ancien mot de passe SO.

Avant d’initialiser le HSM, vous pouvez effectuer une mise à niveau vers la dernière version du logiciel. Pour effectuer une mise à niveau vers la dernière version, reportez-vous à la section Mise à niveau ou mise à niveau du logiciel système.

Après la mise à niveau, vérifiez que le répertoire /nsconfig/fips a été créé avec succès sur l’appliance.

Configurez le HSM sur un matériel FIPS MPX 9700/10500/12500/15500 à l’aide de l’interface de ligne de commande

Après avoir ouvert une session sur l’appliance en tant que superutilisateur et terminé la configuration initiale, à l’invite de commandes, tapez les commandes suivantes pour configurer le HSM et vérifier la configuration :

show ssl fips

reset ssl fips

reboot

set ssl fips -initHSM Level-2 <newSOpassword> <oldSOpassword> <userPassword> [-hsmLabel <string>]

save ns config

reboot

show ssl fips

Exemple :

show fips

    FIPS Card is not configured
    Done
    reset fips
    reboot
    Are you sure you want to restart NetScaler (Y/N)? [N]:y

    set ssl fips -initHSM Level-2 sopin12345 so12345 user123 -hsmLabel cavium

    This command will erase all data on the FIPS card. You must save the configuration

    (saveconfig) after executing this command.


    Do you want to continue?(Y/N)y
    Done

    save ns config

    reboot

    Are you sure you want to restart NetScaler (Y/N)? [N]:y

    show fips

            FIPS HSM Info:
    HSM Label              : Citrix ADC FIPS
    Initialization         : FIPS-140-2 Level-2
    HSM Serial Number      : 2.1G1008-IC000021
    HSM State              : 2
    HSM Model              : NITROX XL CN1620-NFBE
    Firmware Version       : 1.1
    Firmware Release Date  : Jun04,2010
    Max FIPS Key Memory    : 3996
    Free FIPS Key Memory   : 3994
    Total SRAM Memory      : 467348
    Free SRAM Memory       : 62564
    Total Crypto Cores      : 3
    Enabled Crypto Cores    : 1
    Done

    Note: If you upgrade the firmware to version 2.2, the firmware release date is replaced with the firmware build.



    > show fips

    FIPS HSM Info:

    HSM Label                : Citrix ADC FIPS
    Initialization              : FIPS-140-2 Level-2
    HSM Serial Number    : 3.0G1235-ICM000264
    HSM State                : 2
    HSM Model               : NITROX XL CN1620-NFBE
    Hardware Version       : 2.0-G
    Firmware Version        : 2.2
    Firmware Build           : NFBE-FW-2.2-130009
    Max FIPS Key Memory : 3996
    Free FIPS Key Memory : 3958
    Total SRAM Memory    : 467348
    Free SRAM Memory     : 50524
    Total Crypto Cores      : 3
    Enabled Crypto Cores  : 3
    Done

Configurez le HSM sur un matériel FIPS MPX 9700/10500/12500/15500 à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > SSL > FIPS.

  2. Dans le volet d’informations, sous l’onglet Informations FIPS, cliquez sur Réinitialiser FIPS.

  3. Dans le volet de navigation, cliquez sur Système.

  4. Dans le volet d’informations, cliquez sur Redémarrer.

  5. Dans le volet d’informations, sous l’onglet Informations FIPS, cliquez sur Initialiser HSM.

  6. Dans la boîte de dialogue Initialiser HSM, spécifiez les valeurs des paramètres suivants :

    • Mot de passe de l’agent de sécurité (SO) *—Nouveau mot de passe de l’agent de sécurité
    • Ancien mot de passe SO *—ancien mot de passe SO
    • Mot de passe utilisateur* : mot de passe utilisateur
    • level : inithSM (actuellement défini sur Level2 et ne peut pas être modifié)
    • Étiquette HSM—HSMLabel

    *Paramètre obligatoire

  7. Cliquez sur OK.

  8. Dans le volet d’informations, cliquez sur Enregistrer.

  9. Dans le volet de navigation, cliquez sur Système.

  10. Dans le volet d’informations, cliquez sur Redémarrer.

  11. Sous Informations HSM FIPS, vérifiez que les informations affichées pour le HSM FIPS que vous venez de configurer sont correctes.

Créer et transférer des clés FIPS

Après avoir configuré le HSM de votre appliance FIPS, vous êtes prêt à créer une clé FIPS. La clé FIPS est créée dans le HSM de l’appliance. Vous pouvez ensuite exporter la clé FIPS vers la carte CompactFlash de l’appliance en tant que sauvegarde sécurisée. L’exportation de la clé vous permet également de la transférer en la copiant vers /flash d’une autre appliance, puis en l’important dans le HSM de cette appliance. Vous devez activer la carte SIM entre deux nœuds autonomes avant d’exporter et de transférer les clés. Dans une configuration HA, si l’un des nœuds est remplacé par une nouvelle appliance, vous devez activer la carte SIM entre cette nouvelle appliance et l’appliance existante de la configuration HA avant d’exporter ou d’importer des clés FIPS.

Au lieu de créer une clé FIPS, vous pouvez importer une clé FIPS existante ou importer une clé externe en tant que clé FIPS. Si vous ajoutez une paire de clés de certificat de 2048 bits sur les appliances FIPS MPX 9700/10500/12500/15500, assurez-vous d’avoir le bon certificat et la bonne paire de clés.

Remarque : Si vous planifiez une configuration HA, assurez-vous que les appliances FIPS sont configurées dans une configuration HA avant de créer une clé FIPS.

Créer des clés FIPS

Avant de créer une clé FIPS, assurez-vous que le HSM est configuré.

Vous devez spécifier le type de clé (RSA ou ECDSA) et spécifier la courbe pour les clés ECDSA.

Créer une clé FIPS à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > SSL > FIPS.
  2. Dans le volet d’informations, sous l’onglet Clés FIPS, cliquez sur Ajouter.
  3. Dans la boîte de dialogue Créer une clé FIPS, spécifiez les valeurs des paramètres suivants :

    • Nom de la clé FIPS*—fipsKeyName
    • Module*—modulus
    • Exposant*—exponent

    *Paramètre obligatoire

  4. Cliquez sur Créer, puis sur Fermer.
  5. Sous l’onglet Clés FIPS, vérifiez que les paramètres affichés pour la clé FIPS que vous venez de créer sont corrects.

Créer une clé FIPS à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour créer une clé FIPS et vérifier les paramètres :

create ssl fipsKey <fipsKeyName> -modulus <positive_integer> [-exponent ( 3 | F4 )]

show ssl fipsKey [<fipsKeyName>]

Exemple :

    create fipskey Key-FIPS-1 -keytype RSA -modulus 2048 -exponent 3

    show ssl fipsKey Key-FIPS-1

                FIPS Key Name: Key-FIPS-1 Key Type: RSA Modulus: 2048   Public Exponent: F4 (Hex: 0x10001)

Exporter les clés FIPS

Citrix vous recommande de créer une sauvegarde de toute clé créée dans le HSM FIPS. Si une clé dans le HSM est supprimée, il n’y a aucun moyen de créer à nouveau la même clé, et tous les certificats qui y sont associés sont rendus inutiles.

Outre l’exportation d’une clé en tant que sauvegarde, vous devrez peut-être exporter une clé pour le transfert vers une autre appliance.

La procédure suivante fournit des instructions sur l’exportation d’une clé FIPS vers le dossier /nsconfig/ssl du CompactFlash de l’appliance et la sécurisation de la clé exportée à l’aide d’une méthode de chiffrement asymétrique forte.

Exporter une clé FIPS à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

export ssl fipsKey <fipsKeyName> -key <string>

Exemple :

export fipskey Key-FIPS-1 -key Key-FIPS-1.key

Exporter une clé FIPS à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > SSL > FIPS

  2. Dans le volet d’informations, sous l’onglet Clés FIPS, cliquez sur Exporter.

  3. Dans la boîte de dialogue Exporter FIPS dans un fichier, spécifiez les valeurs des paramètres suivants :

    • Nom de la clé FIPS*—fipsKeyName
    • Nom du fichier* : touche (Pour placer le fichier dans un emplacement autre que celui par défaut, vous pouvez spécifier le chemin d’accès complet ou cliquer sur le bouton Parcourir et accéder à un emplacement.)

    *Paramètre obligatoire

  4. Cliquez sur Exporter, puis sur Fermer.

Importer une clé FIPS existante

Pour utiliser une clé FIPS existante avec votre appliance FIPS, vous devez transférer la clé FIPS du disque dur de l’appliance vers son HSM.

Remarque : Pour éviter les erreurs lors de l’importation d’une clé FIPS, assurez-vous que le nom de la clé importée est le même que le nom de la clé d’origine lors de sa création.

Importer une clé FIPS sur les appliances FIPS MPX 9700/10500/12500/15500 à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour importer une clé FIPS et vérifier les paramètres :

-  import ssl fipsKey <fipsKeyName> -key <string> -inform SIM -exponent (F4 | 3)
-  show ssl fipskey <fipsKeyName>

Exemple :

import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform SIM -exponent F4
show ssl fipskey key-FIPS-2
FIPS Key Name: Key-FIPS-2 Modulus: 2048   Public Exponent: F4 (Hex value 0x10001)

Importer une clé FIPS à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > SSL > FIPS

  2. Dans le volet d’informations, sous l’onglet Clés FIPS, cliquez sur Importer.

  3. Dans la boîte de dialogue Importer en tant que clé FIPS, sélectionnez le fichier de clé FIPS et définissez les valeurs pour les paramètres suivants :

    • Nom de la clé FIPS*
    • Nom du fichier clé* : pour placer le fichier dans un emplacement autre que celui par défaut, vous pouvez spécifier le chemin d’accès complet ou cliquer sur Parcourir et accéder à un emplacement.
    • Exposant*

    *Paramètre obligatoire

  4. Cliquez sur Importer, puis sur Fermer.

  5. Sous l’onglet Clés FIPS, vérifiez que les paramètres affichés pour la clé FIPS que vous venez d’importer sont corrects.

Importer une clé externe

Outre le transfert des clés FIPS créées dans le HSM de l’appliance Citrix ADC, vous pouvez transférer des clés privées externes (telles que celles créées sur un Citrix ADC standard, Apache ou IIS) vers une appliance FIPS Citrix ADC. Les clés externes sont créées en dehors du HSM, à l’aide d’un outil tel que OpenSSL. Avant d’importer une clé externe dans le HSM, copiez-la sur le lecteur flash de l’appliance sous /nsconfig/ssl.

Sur les appliances FIPS MPX 9700/10500/12500/15500, le paramètre -exponent de la commande import ssl fipskey n’est pas requis lors de l’importation d’une clé externe. L’exposant public correct est détecté automatiquement lorsque la clé est importée et la valeur du paramètre -exponent est ignorée.

L’appliance Citrix ADC FIPS ne prend pas en charge les clés externes avec un exposant public autre que 3 ou F4.

Vous n’avez pas besoin d’une clé d’enroulement sur les appareils FIPS MPX 9700/10500/12500/15500.

Vous ne pouvez pas importer une clé FIPS externe cryptée directement vers une appliance FIPS MPX 9700/10500/12500/15500. Pour importer la clé, vous devez d’abord la déchiffrer, puis l’importer. Pour déchiffrer la clé, à l’invite du shell, tapez :

openssl rsa -in <EncryptedKey.key> > <DecryptedKey.out>

Remarque : Si vous importez une clé RSA en tant que clé FIPS, Citrix vous recommande de supprimer la clé RSA de l’appliance à des fins de sécurité.

Importer une clé externe en tant que clé FIPS vers une appliance FIPS MPX 9700/10500/12500/15500 à l’aide de l’interface de ligne de commande

  1. Copiez la clé externe sur le lecteur flash de l’appliance.
  2. Si la clé est au format .pfx, vous devez d’abord la convertir au format PEM. À l’invite de commandes, tapez :

    convert ssl pkcs12 <output file> -import -pkcs12File <input .pfx file name> -password <password>
    
  3. À l’invite de commandes, tapez les commandes suivantes pour importer la clé externe en tant que clé FIPS et vérifiez les paramètres :

    import ssl fipsKey <fipsKeyName> -key <string> -informPEM
    show ssl fipskey<fipsKeyName>
    

Exemple :

convert ssl pkcs12 iis.pem -password 123456 -import -pkcs12File iis.pfx

import fipskey Key-FIPS-2 -key iis.pem -inform PEM

show ssl fipskey key-FIPS-2

FIPS Key Name: Key-FIPS-2 Modulus: 0   Public Exponent: F4 (Hex value 0x10001)

Importer une clé externe en tant que clé FIPS vers une appliance FIPS MPX 9700/10500/12500/15500 à l’aide de l’interface graphique

  1. Si la clé est au format .pfx, vous devez d’abord la convertir au format PEM.

    1. Accédez à Gestion du trafic > SSL.
    2. Dans le volet d’informations, sous Outils, cliquez sur Importer PKCS #12.
    3. Dans la boîte de dialogue Importer un fichier PKCS12, définissez les paramètres suivants :
      • Nom du fichier de sortie*
      • Nom du fichier PKCS12 *: spécifiez le nom du fichier .pfx.
      • Importer le mot de passe *
      • Format de codage *Paramètre obligatoire
  2. Accédez à Gestion du trafic > SSL > FIPS

  3. Dans le volet d’informations, sous l’onglet Clés FIPS, cliquez sur Importer.

  4. Dans la boîte de dialogue Importer en tant que clé FIPS, sélectionnez fichier PEM et définissez les valeurs pour les paramètres suivants :

    • Nom de la clé FIPS*
    • Nom du fichier clé* : pour placer le fichier dans un emplacement autre que celui par défaut, vous pouvez spécifier le chemin d’accès complet ou cliquer sur Parcourir et accéder à un emplacement.

    *Paramètre obligatoire

  5. Cliquez sur Importer, puis sur Fermer.

  6. Sous l’onglet Clés FIPS, vérifiez que les paramètres affichés pour la clé FIPS que vous venez d’importer sont corrects.

Appareils FIPS MPX 9700/10500/12500/15500