-
-
Configuration de Citrix ADC pour Citrix Virtual Apps and Desktops
-
Préférence de zone optimisée pour l'équilibrage de la charge du serveur global (GSLB)
-
Déploiement d'une plateforme de publicité numérique sur AWS avec Citrix ADC
-
Amélioration de l'analyse des flux de clics dans AWS à l'aide de Citrix ADC
-
Citrix ADC dans un cloud privé géré par Microsoft Windows Azure Pack et Cisco ACI
-
-
Déployer une instance de Citrix ADC VPX sur AWS
-
Installer une instance Citrix ADC VPX sur le cloud VMware sur AWS
-
Installer une instance Citrix ADC VPX sur des serveurs Microsoft Hyper-V
-
Installer une instance Citrix ADC VPX sur la plate-forme Linux-KVM
-
Provisionnement de l'appliance virtuelle Citrix ADC à l'aide d'OpenStack
-
Provisionnement de l'appliance virtuelle Citrix ADC à l'aide de Virtual Machine Manager
-
Configuration des appliances virtuelles Citrix ADC pour utiliser l'interface réseau SR-IOV
-
Configuration des appliances virtuelles Citrix ADC pour utiliser l'interface réseau PCI
-
Provisioning de l'appliance virtuelle Citrix ADC à l'aide du programme virsh
-
Provisioning de l'appliance virtuelle Citrix ADC avec SR-IOV, sur OpenStack
-
Configuration d'une instance Citrix ADC VPX sur KVM pour utiliser les interfaces hôtes OVS DPDK
-
Déployer une instance de Citrix ADC VPX sur AWS
-
Serveurs d'équilibrage de charge dans différentes zones de disponibilité
-
Haute disponibilité dans toutes les zones de disponibilité AWS
-
Déployer une paire VPX haute disponibilité avec des adresses IP privées dans différentes zones AWS
-
Ajout d'un service de mise à l'échelle automatique AWS back-end
-
Configurer une instance Citrix ADC VPX pour utiliser l'interface réseau SR-IOV
-
Configurer une instance Citrix ADC VPX pour utiliser la mise en réseau améliorée avec AWS ENA
-
Déployer une instance de Citrix ADC VPX sur Microsoft Azure
-
Architecture réseau pour les instances Citrix ADC VPX sur Microsoft Azure
-
Configurer plusieurs adresses IP pour une instance autonome Citrix ADC VPX
-
Configurer une configuration haute disponibilité avec plusieurs adresses IP et cartes réseau
-
Configurer une instance Citrix ADC VPX pour utiliser la mise en réseau accélérée Azure
-
Configurer les nœuds HA-INC à l'aide du modèle de haute disponibilité Citrix avec Azure ILB
-
Ajouter des paramètres de mise à l'échelle automatique Azure
-
Configurer GSLB sur une configuration haute disponibilité active en veille
-
Configurer des pools d'adresses (IIP) pour une appliance Citrix Gateway
-
Scripts PowerShell supplémentaires pour le déploiement Azure
-
Déployer une instance Citrix ADC VPX sur Google Cloud Platform
-
Déployer une paire haute disponibilité VPX sur Google Cloud Platform
-
Déployer une paire VPX haute disponibilité avec des adresses IP privées sur Google Cloud Platform
-
Ajouter un service de mise à l'échelle automatique GCP back-end
-
Prise en charge de la mise à l'échelle VIP pour l'instance Citrix ADC VPX sur GCP
-
-
Automatiser le déploiement et les configurations de Citrix ADC
-
Solutions pour les fournisseurs de services de télécommunication
-
Trafic de plan de contrôle d'équilibrage de charge basé sur les protocoles Diameter, SIP et SMPP
-
Utilisation de la bande passante à l'aide de la fonctionnalité de redirection de cache
-
Optimisation TCP de Citrix ADC
-
Authentification, autorisation et audit du trafic des applications
-
Fonctionnement de l'authentification, de l'autorisation et de l'audit
-
Composants de base de la configuration d'authentification, d'autorisation et d'audit
-
Autorisation de l'accès des utilisateurs aux ressources applicatives
-
Citrix ADC en tant que proxy du service de fédération Active Directory
-
Citrix Gateway sur site en tant que fournisseur d'identité pour Citrix Cloud
-
Prise en charge de la configuration de l'attribut de cookie SameSite
-
Configuration d'authentification, d'autorisation et d'audit pour les protocoles couramment utilisés
-
Résoudre les problèmes liés à l'authentification et à l'autorisation
-
-
-
Prise en charge de la configuration Citrix ADC dans la partition d'administration
-
Prise en charge de VXLAN pour les partitions d'administration
-
Prise en charge de SNMP pour les partitions d'administration
-
Prise en charge des journaux d'audit pour les partitions d'administration
-
Afficher les adresses PMAC configurées pour la configuration VLAN partagée
-
-
-
-
Configuration de l'expression de stratégie avancée : Mise en route
-
Expressions de stratégie avancées : utilisation de dates, d'heures et de nombres
-
Expressions de stratégie avancées : analyse des données HTTP, TCP et UDP
-
Expressions de stratégie avancées : analyse des certificats SSL
-
Expressions de stratégie avancées : adresses IP et MAC, débit, ID VLAN
-
Expressions de stratégie avancées : fonctions d'analyse de flux
-
Référence aux expressions - Expressions de stratégie avancées
-
Résumé d'exemples d'expressions et de stratégies de syntaxe par défaut
-
Didacticiel exemples de stratégies de syntaxe par défaut pour la réécriture
-
Migration des règles Apache mod_rewrite vers la syntaxe par défaut
-
-
-
Traduire l'adresse IP de destination d'une requête vers l'adresse IP d'origine
-
-
Prise en charge de la configuration de Citrix ADC dans un cluster
-
-
-
Groupes de nœuds pour les configurations spotted et striped partielles
-
Suppression du nœud d'un cluster déployé à l'aide de l'agrégation de liens de cluster
-
Surveillance des itinéraires pour les itinéraires dynamiques dans le cluster
-
Surveillance de la configuration du cluster à l'aide de MIB SNMP avec liaison SNMP
-
Surveillance des échecs de propagation des commandes dans un déploiement de cluster
-
Prise en charge de MSR pour les nœuds inactifs dans une configuration de cluster spotted
-
Liaison d'interface VRRP dans un cluster actif à nœud unique
-
Scénarios de configuration et d'utilisation du cluster
-
Migration d'une configuration HA vers une configuration de cluster
-
Interfaces communes pour le client et le serveur et interfaces dédiées pour le backplane
-
Commutateur commun pour le client, le serveur et le backplane
-
Commutateur commun pour le client et le serveur et commutateur dédié pour le backplane
-
Services de surveillance dans un cluster à l'aide de la surveillance des chemins
-
Opérations prises en charge sur des nœuds de cluster individuels
-
-
-
Configurer les enregistrements de ressources DNS
-
Créer des enregistrements MX pour un serveur d'échange de messagerie
-
Créer des enregistrements NS pour un serveur faisant autorité
-
Créer des enregistrements NAPTR pour le domaine des télécommunications
-
Créer des enregistrements PTR pour les adresses IPv4 et IPv6
-
Créer des enregistrements SOA pour les informations faisant autorité
-
Créer des enregistrements TXT pour contenir du texte descriptif
-
Configurer Citrix ADC en tant que résolveur de stub adapté à la sécurité sans validation
-
Prise en charge des trames Jumbo pour DNS pour gérer les réponses de grandes tailles
-
Configurer la mise en cache négative des enregistrements DNS
-
-
Équilibrage de charge globale des serveurs
-
Configurer les entités GSLB individuellement
-
Cas d'utilisation : Déploiement d'un groupe de services d'échelle automatique basé sur l'adresse IP
-
-
Remplacer le comportement de proximité statique en configurant les emplacements préférés
-
Configurer la sélection du service GSLB à l'aide du changement de contenu
-
Configurer GSLB pour les requêtes DNS avec les enregistrements NAPTR
-
Exemple de configuration parent-enfant complète à l'aide du protocole d'échange de mesures
-
-
Équilibrer la charge du serveur virtuel et des états de service
-
Protéger une configuration d'équilibrage de charge contre les défaillances
-
-
Configurer des serveurs virtuels d'équilibrage de charge sans session
-
Réécriture des ports et des protocoles pour la redirection HTTP
-
Insérer l'adresse IP et le port d'un serveur virtuel dans l'en-tête de requête
-
Utiliser une adresse IP source spécifiée pour la communication backend
-
Définir une valeur de délai d'attente pour les connexions client inactives
-
Utiliser un port source à partir d'une plage de ports spécifiée pour la communication backend
-
Configurer la persistance de l'IP source pour les communications backend
-
-
Paramètres avancés d'équilibrage de charge
-
Protéger les applications sur les serveurs protégés contre les surtensions de trafic
-
Activer le nettoyage des connexions de serveur virtuel et de service
-
Activer ou désactiver la session de persistance sur les services TROFS
-
Activer la vérification de l'état TCP externe pour les serveurs virtuels UDP
-
Maintenir la connexion client pour plusieurs demandes client
-
Utiliser l'adresse IP source du client lors de la connexion au serveur
-
Définir une limite de nombre de requêtes par connexion au serveur
-
Définir une valeur de seuil pour les moniteurs liés à un service
-
Définir une valeur de délai d'attente pour les connexions client inactives
-
Définir une valeur de délai d'attente pour les connexions au serveur inactif
-
Définir une limite sur l'utilisation de la bande passante par les clients
-
Configurer les moniteurs dans une configuration d'équilibrage de charge
-
Configurer l'équilibrage de charge pour les protocoles couramment utilisés
-
Cas d'utilisation 3 : Configurer l'équilibrage de charge en mode de retour direct du serveur
-
Cas d'utilisation 4 : Configurer les serveurs LINUX en mode DSR
-
Cas d'utilisation 5 : Configurer le mode DSR lors de l'utilisation de TOS
-
Cas d'utilisation 7 : Configurer l'équilibrage de charge en mode DSR à l'aide d'IP sur IP
-
Cas d'utilisation 8 : Configurer l'équilibrage de charge en mode à un bras
-
Cas d'utilisation 9 : Configurer l'équilibrage de charge en mode Inline
-
Cas d'utilisation 10 : Équilibrage de la charge des serveurs du système de détection d'intrusion
-
Cas d'utilisation 11 : Isolation du trafic réseau à l'aide de stratégies d'écoute
-
Cas d'utilisation 12 : Configurer XenDesktop pour l'équilibrage de charge
-
Cas d'utilisation 13 : Configurer XenApp pour l'équilibrage de charge
-
Cas d'utilisation 14 : Assistant ShareFile pour l'équilibrage de charge Citrix ShareFile
-
-
Configurer pour source de trafic de données Citrix ADC FreeBSD à partir d'une adresse SNIP
-
Déchargement et accélération SSL
-
Prise en charge du protocole TLSv1.3 tel que défini dans la RFC 8446
-
Suites de chiffrement disponibles sur les appliances Citrix ADC
-
Matrice de prise en charge des certificats de serveur sur l'appliance ADC
-
Appareils FIPS MPX 9700/10500/12500/15500
-
Prise en charge du module de sécurité matérielle du réseau Gemalto SafeNet
-
-
-
-
Authentification et autorisation pour les utilisateurs du système
-
Configuration des utilisateurs, des groupes d'utilisateurs et des stratégies de commande
-
Réinitialisation du mot de passe administrateur par défaut (nsroot)
-
Configuration de l'authentification des utilisateurs externes
-
Authentification basée sur la clé SSH pour les administrateurs Citrix ADC
-
Authentification à deux facteurs pour les utilisateurs système
-
-
-
Configuration d'un tunnel de connecteur CloudBridge entre deux centres de données
-
Configuration de CloudBridge Connector entre Datacenter et AWS Cloud
-
Configuration d'un tunnel de connecteur CloudBridge entre un centre de données et Azure Cloud
-
Configuration du tunnel Connector CloudBridge entre Datacenter et SoftLayer Enterprise Cloud
-
-
Points à prendre en considération pour une configuration de haute disponibilité
-
Restriction du trafic de synchronisation haute disponibilité à un VLAN
-
Configuration des nœuds haute disponibilité dans différents sous-réseaux
-
Limitation des basculements causés par les moniteurs de routage en mode non-INC
-
Comprendre le calcul de la vérification de l'état de haute disponibilité
-
Gestion des messages de pulsation haute disponibilité sur une appliance Citrix ADC
-
Suppression et remplacement d'un Citrix ADC dans une configuration haute disponibilité
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
Appareils FIPS MPX 9700/10500/12500/15500
Le Federal Information Processing Standard (FIPS), publié par le National Institute of Standards and Technologies des États-Unis, précise les exigences de sécurité d’un module cryptographique utilisé dans un système de sécurité. L’appliance Citrix ADC FIPS est conforme à la deuxième version de cette norme, FIPS-140-2.
Note : Désormais, toutes les références à FIPS impliquent FIPS-140-2.
L’appareil FIPS est équipé d’un module cryptographique inviolable (inviolable) et d’un Cavium CN1620-NFBE3-2.0-G sur les appareils FIPS MPX 9700/10500/12500/15500, conçus pour répondre aux spécifications FIPS 140-2 de niveau 2. Les paramètres de sécurité critiques (CSP), principalement la clé privée du serveur, sont stockés et générés en toute sécurité à l’intérieur du module cryptographique, également appelé Hardware Security Module (HSM). Les CSP ne sont jamais accessibles à l’extérieur des limites du HSM. Seul le superutilisateur peut effectuer des opérations sur les clés stockées dans le HSM.
Le tableau suivant résume les différences entre les appliances Citrix ADC standard et Citrix ADC FIPS.
Paramètre | Appliance Citrix ADC | Appliance Citrix ADC FIPS |
---|---|---|
Stockage des clés | Sur le disque dur | Sur la carte FIPS |
Prise en charge du chiffrement | Tous les chiffrements | Ciphers approuvés par FIPS |
Accès aux clés | A partir du disque dur | Non accessible |
La configuration d’une appliance FIPS implique la configuration du HSM immédiatement après la fin du processus de configuration générique. Vous créez ou importez ensuite une clé FIPS. Après avoir créé une clé FIPS, vous devez l’exporter pour la sauvegarde. Vous devrez peut-être également exporter une clé FIPS afin de pouvoir l’importer dans un autre dispositif. Par exemple, la configuration des appliances FIPS dans une configuration HA nécessite le transfert de la clé FIPS du nœud principal vers le nœud secondaire immédiatement après avoir terminé la configuration HA standard.
Vous pouvez mettre à niveau la version du firmware sur la carte FIPS de la version 4.6.0 vers 4.6.1. Vous pouvez également réinitialiser un HSM qui a été verrouillé pour empêcher l’ouverture de session non autorisée. Seuls les chiffrements approuvés par FIPS sont pris en charge sur une appliance Citrix ADC FIPS.
Configuration HSM
Avant de pouvoir configurer le HSM de votre appliance Citrix ADC FIPS, vous devez terminer la configuration matérielle initiale. Pour plus d’informations sur les appliances MPX, reportez-vous à la section Configuration initiale. Pour plus d’informations sur les appliances SDX, cliquez surici.
La configuration du HSM de votre appliance Citrix ADC FIPS efface toutes les données existantes sur le HSM. Pour configurer le HSM, vous devez être connecté à l’appliance en tant que superutilisateur. Le HSM est préconfiguré avec des valeurs par défaut pour le mot de passe Security Officer (SO) et le mot de passe utilisateur, que vous utilisez pour configurer le HSM ou réinitialiser un HSM verrouillé. La longueur maximale autorisée pour le mot de passe est de 14 caractères alphanumériques. Les symboles ne sont pas autorisés.
Important : exécutez la
set ssl fips
commande uniquement après la réinitialisation de la carte FIPS et le redémarrage de l’appliance MPX FIPS.
Bien que l’appliance FIPS puisse être utilisée avec les valeurs de mot de passe par défaut, vous devez les modifier avant de l’utiliser. Le HSM ne peut être configuré que lorsque vous ouvrez une session sur l’appliance en tant que superutilisateur et spécifiez les mots de passe SO et utilisateur.
Important : en raison de contraintes de sécurité, l’appliance ne permet pas de récupérer le mot de passe SO. Stockez une copie du mot de passe en toute sécurité. Si vous devez réinitialiser le HSM, vous devez spécifier ce mot de passe comme ancien mot de passe SO.
Avant d’initialiser le HSM, vous pouvez effectuer une mise à niveau vers la dernière version du logiciel. Pour effectuer une mise à niveau vers la dernière version, reportez-vous à la section Mise à niveau ou mise à niveau du logiciel système.
Après la mise à niveau, vérifiez que le /nsconfig/fips
répertoire a été créé avec succès sur l’appliance.
Configurez le HSM sur la plate-forme FIPS MPX 9700/10500/12500/15500 à l’aide de l’interface de ligne de commande
Après avoir ouvert une session sur l’appliance en tant que superutilisateur et terminé la configuration initiale, à l’invite de commandes, tapez les commandes suivantes pour configurer le HSM et vérifier la configuration :
show ssl fips
reset ssl fips
reboot
set ssl fips -initHSM Level-2 <newSOpassword> <oldSOpassword> <userPassword> [-hsmLabel <string>]
save ns config
reboot
show ssl fips
Exemple :
show fips
FIPS Card is not configured
Done
reset fips
reboot
Are you sure you want to restart NetScaler (Y/N)? [N]:y
set ssl fips -initHSM Level-2 sopin12345 so12345 user123 -hsmLabel cavium
This command will erase all data on the FIPS card. You must save the configuration
(saveconfig) after executing this command.
Do you want to continue?(Y/N)y
Done
save ns config
reboot
Are you sure you want to restart NetScaler (Y/N)? [N]:y
show fips
FIPS HSM Info:
HSM Label : Citrix ADC FIPS
Initialization : FIPS-140-2 Level-2
HSM Serial Number : 2.1G1008-IC000021
HSM State : 2
HSM Model : NITROX XL CN1620-NFBE
Firmware Version : 1.1
Firmware Release Date : Jun04,2010
Max FIPS Key Memory : 3996
Free FIPS Key Memory : 3994
Total SRAM Memory : 467348
Free SRAM Memory : 62564
Total Crypto Cores : 3
Enabled Crypto Cores : 1
Done
Note: If you upgrade the firmware to version 2.2, the firmware release date is replaced with the firmware build.
> show fips
FIPS HSM Info:
HSM Label : Citrix ADC FIPS
Initialization : FIPS-140-2 Level-2
HSM Serial Number : 3.0G1235-ICM000264
HSM State : 2
HSM Model : NITROX XL CN1620-NFBE
Hardware Version : 2.0-G
Firmware Version : 2.2
Firmware Build : NFBE-FW-2.2-130009
Max FIPS Key Memory : 3996
Free FIPS Key Memory : 3958
Total SRAM Memory : 467348
Free SRAM Memory : 50524
Total Crypto Cores : 3
Enabled Crypto Cores : 3
Done
Configurez le HSM sur la plate-forme FIPS MPX 9700/10500/12500/15500 à l’aide de l’interface graphique
-
Accédez à Gestion du trafic > SSL > FIPS.
-
Dans le volet d’informations, sous l’ onglet InfoFIPS, cliquez sur Réinitialiser FIPS.
-
Dans le volet de navigation, cliquez sur Système.
-
Dans le volet d’informations, cliquez sur Redémarrer.
-
Dans le volet d’informations, sous l’onglet Infos FIPS, cliquez sur Initialiser HSM.
-
Dans la boîte de dialogue Initialiser HSM, spécifiez les valeurs des paramètres suivants :
- Mot de passe de l’agent de sécurité (SO) *—Nouveau mot de passe de l’agent de sécurité
- Ancien mot de passe SO *—ancien mot de passe SO
- Mot de passe utilisateur* : mot de passe utilisateur
- level : inithSM (actuellement défini sur Level2 et ne peut pas être modifié)
- Étiquette HSM—HSMLabel
*Paramètre obligatoire
-
Cliquez sur OK.
-
Dans le volet d’informations, cliquez sur Enregistrer.
-
Dans le volet de navigation, cliquez sur Système.
-
Dans le volet d’informations, cliquez sur Redémarrer.
-
Sous FIPS HSM Info, vérifiez que les informations affichées sont correctes pour le HSM FIPS que vous avez configuré.
Créer et transférer des clés FIPS
Après avoir configuré le HSM de votre appliance FIPS, vous êtes prêt à créer une clé FIPS. La clé FIPS est créée dans le HSM de l’appliance. Vous pouvez ensuite exporter la clé FIPS vers la carte CompactFlash de l’appliance en tant que sauvegarde sécurisée. L’exportation de la clé vous permet également de la transférer en la copiant vers /flash d’une autre appliance, puis en l’important dans le HSM de cette appliance. Activez la carte SIM entre deux nœuds autonomes avant d’exporter et de transférer les clés. Dans une configuration HA, si l’un des nœuds est remplacé par un nouveau, vous devez effectuer les opérations suivantes :
- Activez la carte SIM entre cette nouvelle appliance et l’appliance existante du programme d’installation HA.
- Exportez ou importez des clés FIPS.
Au lieu de créer une clé FIPS, vous pouvez importer une clé FIPS existante ou importer une clé externe en tant que clé FIPS. Si vous ajoutez une paire de clés de certificat de 2048 bits sur les appliances FIPS MPX 9700/10500/12500/15500, assurez-vous d’avoir le bon certificat et la bonne paire de clés.
Remarque : Si vous planifiez une configuration HA, assurez-vous que les appliances FIPS sont configurées dans une configuration HA avant de créer une clé FIPS.
Créer des clés FIPS
Avant de créer une clé FIPS, assurez-vous que le HSM est configuré.
Spécifiez le type de clé (RSA ou ECDSA) et spécifiez la courbe pour les clés ECDSA.
Créer une clé FIPS à l’aide de l’interface graphique
- Accédez à Gestion du trafic > SSL > FIPS.
- Dans le volet d’informations, sous l’onglet Touches FIPS, cliquez sur Ajouter.
-
Dans la boîte de dialogue Créer une clé FIPS, spécifiez les valeurs des paramètres suivants :
- Nom de la clé FIPS*—fipsKeyName
- Module*—modulus
- Exposant*—exponent
*Paramètre obligatoire
- Cliquez sur Créer, puis sur Fermer.
- Sous l’onglet Touches FIPS, vérifiez que les paramètres affichés pour la clé FIPS que vous avez créée sont corrects.
Créer une clé FIPS à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez les commandes suivantes pour créer une clé FIPS et vérifier les paramètres :
create ssl fipsKey <fipsKeyName> -modulus <positive_integer> [-exponent ( 3 | F4 )]
show ssl fipsKey [<fipsKeyName>]
Exemple :
create fipskey Key-FIPS-1 -keytype RSA -modulus 2048 -exponent 3
show ssl fipsKey Key-FIPS-1
FIPS Key Name: Key-FIPS-1 Key Type: RSA Modulus: 2048 Public Exponent: F4 (Hex: 0x10001)
Exporter les clés FIPS
Citrix vous recommande de créer une sauvegarde de toute clé créée dans le HSM FIPS. Si une clé dans le HSM est supprimée, il n’y a aucun moyen de créer à nouveau la même clé, et tous les certificats qui y sont associés sont rendus inutiles.
Outre l’exportation d’une clé en tant que sauvegarde, vous devrez peut-être exporter une clé pour le transfert vers une autre appliance.
La procédure suivante fournit des instructions sur l’exportation d’une clé FIPS vers le /nsconfig/ssl
dossier du CompactFlash de l’appliance et la sécurisation de la clé exportée à l’aide d’une méthode de chiffrement de clé asymétrique forte.
Exporter une clé FIPS à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
export ssl fipsKey <fipsKeyName> -key <string>
Exemple :
export fipskey Key-FIPS-1 -key Key-FIPS-1.key
Exporter une clé FIPS à l’aide de l’interface graphique
-
Accédez à Gestion du trafic > SSL > FIPS.
-
Dans le volet d’informations, sous l’onglet Clés FIPS, cliquez sur Exporter.
-
Dans la boîte de dialogue Exporter FIPS dans un fichier, spécifiez les valeurs des paramètres suivants :
- Nom de la clé FIPS*—fipsKeyName
- Nom du fichier* : touche (Pour placer le fichier dans un emplacement autre que celui par défaut, vous pouvez spécifier le chemin d’accès complet ou cliquer sur le bouton Parcourir et accéder à un emplacement.)
*Paramètre obligatoire
-
Cliquez sur Exporter, puis sur Fermer.
Importer une clé FIPS existante
Pour utiliser une clé FIPS existante avec votre appliance FIPS, vous devez transférer la clé FIPS du disque dur de l’appliance vers son HSM.
Remarque : Pour éviter les erreurs lors de l’importation d’une clé FIPS, assurez-vous que le nom de la clé importée est le même que le nom de la clé d’origine lors de sa création.
Importer une clé FIPS sur les appliances FIPS MPX 9700/10500/12500/15500 à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez les commandes suivantes pour importer une clé FIPS et vérifier les paramètres :
- import ssl fipsKey <fipsKeyName> -key <string> -inform SIM -exponent (F4 | 3)
- show ssl fipskey <fipsKeyName>
Exemple :
import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform SIM -exponent F4
show ssl fipskey key-FIPS-2
FIPS Key Name: Key-FIPS-2 Modulus: 2048 Public Exponent: F4 (Hex value 0x10001)
Importer une clé FIPS à l’aide de l’interface graphique
-
Accédez à Gestion du trafic > SSL > FIPS.
-
Dans le volet d’informations, sous l’onglet Touches FIPS, cliquez sur Importer.
-
Dans la boîte de dialogue Importer en tant que clé FIPS, sélectionnez le fichier de clé FIPS et définissez les valeurs pour les paramètres suivants :
- Nom de la clé FIPS*
- Nom du fichier clé* : pour placer le fichier dans un emplacement autre que celui par défaut, vous pouvez spécifier le chemin d’accès complet ou cliquer sur Parcourir et accéder à un emplacement.
- Exposant*
*Paramètre obligatoire
-
Cliquez sur Importer, puis sur Fermer.
-
Sous l’onglet Touches FIPS, vérifiez que les paramètres affichés pour la clé FIPS que vous avez importée sont corrects.
Importer une clé externe
Vous pouvez transférer des clés FIPS créées dans le HSM de l’appliance Citrix ADC. Vous pouvez également transférer des clés privées externes (telles que des clés créées sur un Citrix ADC, Apache ou IIS standard) vers une appliance Citrix ADC FIPS. Les clés externes sont créées en dehors du HSM, à l’aide d’un outil tel que OpenSSL. Avant d’importer une clé externe dans le HSM, copiez-la sur le lecteur flash de l’appliance sous /nsconfig/ssl
.
Sur les appliances MPX 9700/10500/12500/15500 FIPS, le paramètre -exponent de la import ssl fipskey
commande n’est pas requis lors de l’importation d’une clé externe. L’exposant public correct est détecté automatiquement lorsque la clé est importée et la valeur du paramètre -exponent est ignorée.
L’appliance Citrix ADC FIPS ne prend pas en charge les clés externes avec un exposant public autre que 3 ou F4.
Vous n’avez pas besoin d’une clé d’enroulement sur les appareils FIPS MPX 9700/10500/12500/15500.
Vous ne pouvez pas importer une clé FIPS externe cryptée directement vers une appliance FIPS MPX 9700/10500/12500/15500. Pour importer la clé, vous devez d’abord la déchiffrer, puis l’importer. Pour déchiffrer la clé, à l’invite du shell, tapez :
openssl rsa -in <EncryptedKey.key> > <DecryptedKey.out>
Remarque : Si vous importez une clé RSA en tant que clé FIPS, Citrix vous recommande de supprimer la clé RSA de l’appliance à des fins de sécurité.
Importer une clé externe en tant que clé FIPS vers une appliance FIPS MPX 9700/10500/12500/15500 à l’aide de l’interface de ligne de commande
- Copiez la clé externe sur le lecteur flash de l’appliance.
-
Si la clé est au format .pfx, vous devez d’abord la convertir au format PEM. À l’invite de commandes, tapez :
convert ssl pkcs12 <output file> -import -pkcs12File <input .pfx file name> -password <password>
-
À l’invite de commandes, tapez les commandes suivantes pour importer la clé externe en tant que clé FIPS et vérifiez les paramètres :
import ssl fipsKey <fipsKeyName> -key <string> -informPEM show ssl fipskey<fipsKeyName>
Exemple :
convert ssl pkcs12 iis.pem -password 123456 -import -pkcs12File iis.pfx
import fipskey Key-FIPS-2 -key iis.pem -inform PEM
show ssl fipskey key-FIPS-2
FIPS Key Name: Key-FIPS-2 Modulus: 0 Public Exponent: F4 (Hex value 0x10001)
Importer une clé externe en tant que clé FIPS vers une appliance FIPS MPX 9700/10500/12500/15500 à l’aide de l’interface graphique
-
Si la clé est au format .pfx, vous devez d’abord la convertir au format PEM.
- Accédez à Gestion du trafic > SSL.
- Dans le volet d’informations, sous Outils, cliquez sur Importer PKCS #12.
- Dans la boîte de dialogue Importer un fichier PKCS12, définissez les paramètres suivants :
- Nom du fichier de sortie*
- Nom du fichier PKCS12 *: spécifiez le nom du fichier .pfx.
- Importer le mot de passe *
- Format de codage *Paramètre obligatoire
-
Accédez à Gestion du trafic > SSL > FIPS.
-
Dans le volet d’informations, sous l’onglet Touches FIPS, cliquez sur Importer.
-
Dans la boîte de dialogue Importer en tant que clé FIPS, sélectionnez fichier PEM et définissez les valeurs pour les paramètres suivants :
- Nom de la clé FIPS*
- Nom du fichier clé* : pour placer le fichier dans un emplacement autre que celui par défaut, vous pouvez spécifier le chemin d’accès complet ou cliquer sur Parcourir et accéder à un emplacement.
*Paramètre obligatoire
-
Cliquez sur Importer, puis sur Fermer.
-
Sous l’onglet Touches FIPS, vérifiez que les paramètres affichés pour la clé FIPS que vous avez importée sont corrects.
Partager
Partager
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.