VPX FIPS アプライアンス
NetScaler VPX FIPSアプライアンスは、米国国立標準技術研究所(NIST)によるFIPS 140-3レベル1の検証中です(現在IUT https://csrc.nist.gov/projects/cryptographic-module-validation-program/modules-in-process/iut-list中です)。FIPS 140-3標準および検証プログラムの詳細については、NISTおよびカナダサイバーセキュリティセンター(CCCS)の暗号モジュール検証プログラム(CMVP)のWebサイトhttps://csrc.nist.gov/projects/cryptographic-module-validation-programを参照してください。
注
- MPX 8900 FIPS、MPX 9100 FIPS、MPX 15000-50G FIPS、およびVPX FIPSプラットフォームでサポートされているのは、NetScalerダウンロードページの「NetScaler Release 13.1-FIPS」に記載されているファームウェアバージョンのみです。
- 12.1-FIPSソフトウェアバージョンを実行するNetScaler FIPSアプライアンスでクラシックポリシーを構成している場合は、 13.1-FIPSへのアップグレードを実行する前にhttps://support.citrix.com/article/CTX234821/citrix-adc-deprecated-classic-policy-based-features-and-functionalities-faqsを参照してください。
- 13.1-FIPS 上の TLS 1.3 は、拡張 SSL プロファイルを使用してのみ設定できます。プロファイルを使用して TLS 1.3 を設定する方法の詳細については、 RFC 8446 で定義されている TLS 1.3 プロトコルのサポートを参照してください。
前提条件
-
オンプレミスのハイパーバイザーの場合は、Citrix のWebサイトから特別なビルドをダウンロードしてください。それぞれのハイパーバイザー用の完全なVPX FIPSパッケージをダウンロードしてください。
-
NetScaler VPX FIPSアプライアンスがプールライセンスモデルで期待どおりに機能するには、FIPSインスタンスライセンスと帯域幅プールが必要です。プールされていないライセンスの場合、必要な帯域幅容量のVPX FIPSライセンスが1つ必要です。
構成
このモジュールは、アプリケーションソフトウェアとオペレーティングシステムの両方を含むソフトウェアパッケージとして利用できます。NetScaler VPX FIPSライセンスを購入したら、Citrix のWebサイトから最新のNetScaler VPX FIPSイメージを入手してください。
次の手順を実行します:
- 最新のNetScaler VPX FIPSイメージを、ESXi、Citrix Hypervisor、Hyper-V、KVM、AWS、Azure、またはGCPのいずれかのハイパーバイザーにアップロードします。
注:
VPX FIPSはESXi 7.0.3で認定される予定です。
-
NetScaler VPX FIPSプラットフォームライセンスとNetScaler VPX帯域幅ライセンスを適用し、アプライアンスをウォームリブートします。
-
アプライアンスが起動したら、CLI で次のコマンドを実行します。
> show system fipsStatus <!--NeedCopy-->次の出力を取得する必要があります。
FipsStatus: System is operating in FIPS mode Done <!--NeedCopy-->次の出力が表示される場合は、トラブルシューティングのセクションを参照して解決手順を確認してください。
FipsStatus: "System is operating in non FIPS mode" Done > <!--NeedCopy--> - 『 セキュア・デプロイメント・ガイド』の設定ガイドラインに従ってください。
RADIUS を使用したリモート認証の詳細については、「 RADIUS を使用したリモート認証の設定」を参照してください。
VPX FIPSアプライアンスでサポートされている暗号
3DES暗号を除くNetScaler MPX/SDX 14000 FIPSアプライアンスでサポートされているすべての暗号は、VPX FIPSアプライアンスでサポートされています。NetScaler VPX FIPSアプライアンスでサポートされている暗号の全リストについては、次のトピックを参照してください。
VPX FIPSアプライアンスのアップグレード
「 NetScalerスタンドアロンアプライアンスのアップグレード」の手順に従って、VPX FIPSアプライアンスをアップグレードします 。
重要:./installns コマンドは./installns -Fに置き換えてください。
注:
リリース 13.1 FIPS ビルド 37.159 以降にアップグレードする場合、pfx ファイルを使用して証明書とキーのペアを追加すると失敗します。
回避策:アップグレードの前に、AES256 などの FIPS 認定の暗号を使用して pfx ファイルを作成します。
例:
root@ns# cd /nsconfig/ssl/ root@ns# openssl pkcs12 -export -out example.name.pfx -inkey example.key -in example.pem -certpbe AES-256-CBC -keypbe AES-256-CBC <!--NeedCopy-->
制限事項
-
VPX FIPSアプライアンスではTACACS認証はサポートされていません。
-
VPX FIPSは別のイメージです。VPXバージョンからVPX FIPSバージョンへのソフトウェアバージョンアップグレードはサポートされていません。また、VPX FIPSソフトウェアバージョンをVPXソフトウェアバージョンにダウングレードまたはアップグレードすることはできません。
-
VPX FIPSイメージは、NetScaler SDXおよびNetScaler SDX FIPSアプライアンスではサポートされていません。
トラブルシューティング
show system fipsStatus コマンドを実行すると、出力は次のようになります。
FipsStatus: "System is operating in non FIPS mode"
Done
>
<!--NeedCopy-->
理由は次のいずれかである可能性があります。
-
ライセンスの有効期限が切れているか、正しくありません。
-
システムが FIPS モードで起動できない。このエラーは、管理コアまたはパケットエンジンの POST 障害が原因である可能性があります。
解決するには:
-
正しいNetScaler VPX FIPSライセンスがインストールされていて、ライセンスの有効期限が切れていないことを確認してください。
-
管理コアまたはパケットエンジンでパワーオンセルフテスト (POST) 障害が発生していないかどうかを確認します。次のコマンドを実行します:
>shell #nsconmsg -g drbg -g ssl_err -g fips -d statswt0 <!--NeedCopy-->パケットエンジンのブートアップ中に POST
nsssl_err_fips_post_failed counterが失敗した場合にインクリメントされます。つまり、データプレーンに障害が発生しています。カウンタが増えない場合は、
(/var/log/FIPS-post.log)ログファイルでアルゴリズムテストに失敗したエントリがないか確認してください。つまり、管理コアの POST 障害(コントロールプレーンの障害)を確認します。いずれの場合も、NetScalerサポートにお問い合わせください。