Configurer les appliances FIPS dans une configuration haute disponibilité

Vous pouvez configurer deux appliances dans une paire haute disponibilité (HA) en tant que appliances FIPS. Pour plus d’informations sur la configuration d’une configuration HA, reportez-vous à la section Haute disponibilité.

Remarque : Citrix vous recommande d’utiliser l’utilitaire de configuration (GUI) pour cette procédure. Si vous utilisez la ligne de commande (CLI), assurez-vous de suivre attentivement les étapes indiquées dans la procédure. La modification de l’ordre des étapes ou la spécification d’un fichier d’entrée incorrect peut entraîner une incohérence qui nécessite le redémarrage de l’appliance. En outre, si vous utilisez l’interface de ligne de commande, la commande create ssl fipskey n’est pas propagée au nœud secondaire. Lorsque vous exécutez la commande avec les mêmes valeurs d’entrée pour la taille du module et l’exposant sur deux appliances FIPS différentes, les clés générées ne sont pas identiques. Vous devez créer la clé FIPS sur l’un des nœuds, puis la transférer à l’autre nœud. Mais si vous utilisez l’utilitaire de configuration pour configurer les appliances FIPS dans une configuration HA, la clé FIPS que vous créez est automatiquement transférée vers le nœud secondaire. Le processus de gestion et de transfert des clés FIPS est connu sous le nom de gestion sécurisée de l’information (SIM).

Important : Sur les appareils FIPS MPX 9700/10500/12500/15500, la configuration HA doit être terminée dans les six minutes. Si le processus prend plus de six minutes, la minuterie interne de la carte FIPS expire et le message d’erreur suivant s’affiche :

ERREUR : L’opération a expiré ou répétée, veuillez patienter 10 minutes et refaire les étapes de configuration SIM/HA.

Si ce message s’affiche, redémarrez l’appliance ou attendez 10 minutes, puis répétez la procédure d’installation HA.

Dans la procédure suivante, l’appliance A est le nœud principal et l’appliance B est le nœud secondaire.

Configurer les appliances FIPS dans une configuration haute disponibilité à l’aide de l’interface de ligne de commande

  1. Sur l’appliance A, ouvrez une connexion SSH à l’appliance à l’aide d’un client SSH, tel que PuTTY.

  2. Ouvrez une session sur l’appliance à l’aide des informations d’identification de l’administrateur.

  3. Initialisez l’appliance A en tant que appliance source. À l’invite de commandes, tapez :

    init ssl fipsSIMsource <certFile>
    
  4. Copiez ce fichier <certFile> dans l’appliance B, dans le dossier /nconfig/ssl.

  5. Sur l’appliance B, ouvrez une connexion SSH à l’appliance à l’aide d’un client SSH, tel que PuTTY.

  6. Ouvrez une session sur l’appliance à l’aide des informations d’identification de l’administrateur.

  7. Initialisez l’appliance B en tant qu’appliance cible. À l’invite de commandes, tapez :

    init ssl fipsSIMtarget <certFile> <keyVector> <targetSecret>
    
  8. Copiez ce fichier <targetSecret> dans l’appliance A.

  9. Sur l’appliance A, activez l’appliance A comme appliance source. À l’invite de commandes, tapez :

    enable ssl fipsSIMSource <targetSecret> <sourceSecret>
    
  10. Copiez ce fichier <sourceSecret> dans l’appliance B.

  11. Sur l’appliance B, activez l’appliance B en tant que solution cible. À l’invite de commandes, tapez :

    enable ssl fipsSIMtarget <keyVector> <sourceSecret>
    
  12. Sur l’appliance A, créez une clé FIPS, comme décrit à la section Créer une clé FIPS.

  13. Exportez la clé FIPS sur le disque dur de l’appliance, comme décrit à la section Exporter une clé FIPS.

  14. Copiez la clé FIPS sur le disque dur de l’appliance secondaire à l’aide d’un utilitaire de transfert de fichiers sécurisé, tel que SCP.

  15. Sur l’appliance B, importez la clé FIPS du disque dur dans le HSM de l’appliance, comme décrit à la section Importer une clé FIPS existante.

Configurer les appliances FIPS dans une configuration haute disponibilité à l’aide de l’interface graphique

  1. Sur l’appliance à configurer en tant que appliance source, accédez à Gestion du trafic > SSL > FIPS.
  2. Dans le volet d’informations, sous l’onglet Informations FIPS, cliquez sur Activer la carte SIM.
  3. Dans la boîte de dialogue Activer la paire HA pour SIM, dans la zone de texte Nom du fichier de certificat, tapez le nom du fichier, avec le chemin d’accès à l’emplacement où le certificat FIPS doit être stocké sur l’appliance source.
  4. Dans la zone de texte Nom du fichier du vecteur de clé, tapez le nom du fichier, avec le chemin d’accès à l’emplacement où le vecteur de clé FIPS doit être stocké sur l’appliance source.
  5. Dans la zone de texte Nom du fichier secret cible, tapez l’emplacement de stockage des données secrètes sur l’appliance cible.
  6. Dans la zone de texte Nom du fichier secret source, tapez l’emplacement de stockage des données secrètes sur l’appliance source.
  7. Cliquez sur OK. Les appliances FIPS sont maintenant configurées en mode HA.
  8. Créez une clé FIPS, comme décrit à la section Créer une clé FIPS. La clé FIPS est automatiquement transférée du primaire au secondaire.

Le diagramme suivant résume le processus de transfert.

Figure 1. Transférer le résumé des clés FIPS

sim-process-detail