Citrix ADC

FIPS アプライアンスの初回設定

構成ユーティリティへのHTTPSアクセスおよびセキュアなリモートプロシージャコールには、証明書とキーのペアが必要です。RPCノードは、構成およびセッション情報のシステム間通信に使用される内部システムエンティティです。アプライアンスごとに1つのRPCノードが存在します。このノードに格納されるパスワードは、接続するアプライアンスによって提供されるパスワードと比較して調べられます。他のCitrix ADCアプライアンスと通信するには、各アプライアンスが他のアプライアンスに関する知識を必要とします。これには、他のアプライアンスでの認証方法も含まれます。RPCノードは、この情報を保持します。この情報には、他のCitrix ADCアプライアンスのIPアドレスと、各アプライアンスの認証に使用されるパスワードが含まれます。

Citrix ADC MPXアプライアンスの仮想アプライアンスでは、証明書とキーのペアが自動的に内部サービスにバインドされます。FIPSアプライアンスでは、FIPSカードのハードウェアセキュリティモジュール(HSM)に証明書とキーのペアをインポートする必要があります。そのためには、FIPSカードを構成し、証明書とキーのペアを作成して、それを内部サービスにバインドする必要があります。

CLI を使用したセキュア HTTPS の設定

CLI を使用してセキュア HTTPS を設定するには、次の手順を実行します。

  1. アプライアンスの FIPS カードのハードウェアセキュリティモジュール (HSM) を初期化します。HSM の初期化については、HSM の設定を参照してください。

  2. アプライアンスが高可用性設定の一部である場合は、SIM を有効にします。プライマリアプライアンスおよびセカンダリアプライアンスで SIM を有効にする方法については、高可用性セットアップでの FIPS アプライアンスの構成を参照してください。

  3. アプライアンスの FIPS カードの HSM に FIPS キーをインポートします。コマンドプロンプトで、次のように入力します。

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. 証明書とキーのペアを追加します。コマンドプロンプトで、次のように入力します。

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. 前の手順で作成した証明書キーを次の内部サービスにバインドします。コマンドプロンプトで、次のように入力します。

    bind ssl service nshttps-127.0.0.1-443 -certkeyname server

    bind ssl service nshttps-::11-443 -certkeyname server

GUI を使用してセキュリティで保護された HTTPS を構成する

GUI を使用してセキュア HTTPS を設定するには、次の手順を実行します。

  1. アプライアンスの FIPS カードのハードウェアセキュリティモジュール (HSM) を初期化します。HSM の初期化については、HSM の設定を参照してください。

  2. アプライアンスが高可用性セットアップの一部である場合は、セキュア情報システム(SIM)を有効にします。プライマリアプライアンスおよびセカンダリアプライアンスで SIM を有効にする方法については、高可用性セットアップでの FIPS アプライアンスの構成を参照してください。
  3. アプライアンスの FIPS カードの HSM に FIPS キーをインポートします。FIPS キーのインポートの詳細については、「既存の FIPS キーをインポートする」の項を参照してください。
  4. [トラフィック管理] > [SSL] > [証明書] に移動します。
  5. 詳細ペインで、[Install]をクリックします。
  6. [証明書のインストール] ダイアログボックスで、証明書の詳細を入力します。
  7. [ 作成] をクリックし、[ 閉じる] をクリックします。
  8. [ トラフィック管理 ] > [ ロードバランシング ] > [ サービス] に移動します。
  9. 詳細ペインの[Action]タブで、[Internal Services]をクリックします。
  10. 一覧から[nshttps-127.0.0.1-443]を選択し、[Open]をクリックします。
  11. [Available]ペインの[SSL Settings]タブで、手順7で作成した証明書を選択して[Add]をクリックし、[OK]をクリックします。
  12. 一覧から[nshttps-::11-443]を選択し、[Open]をクリックします。
  13. [Available]ペインの[SSL Settings]タブで、手順7で作成した証明書を選択して[Add]をクリックし、[OK]をクリックします。
  14. [ OK] をクリックします。

CLI を使用したセキュア RPC の構成

CLI を使用してセキュア RPC を設定するには、次の手順を実行します。

  1. アプライアンスの FIPS カードのハードウェアセキュリティモジュール (HSM) を初期化します。HSM の初期化については、HSM の設定を参照してください。

  2. セキュア情報システム(SIM)を有効にします。プライマリアプライアンスおよびセカンダリアプライアンスで SIM を有効にする方法については、高可用性セットアップでの FIPS アプライアンスの構成を参照してください。

  3. アプライアンスの FIPS カードの HSM に FIPS キーをインポートします。コマンドプロンプトで、次のように入力します。

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. 証明書とキーのペアを追加します。コマンドプロンプトで、次のように入力します。

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. 証明書とキーのペアを次の内部サービスにバインドします。コマンドプロンプトで、次のように入力します。

    bind ssl service nsrpcs-127.0.0.1-3008 -certkeyname server

    bind ssl service nskrpcs-127.0.0.1-3009 -certkeyname server

    bind ssl service nsrpcs-::1l-3008 -certkeyname server

  6. セキュア RPC モードを有効にします。コマンドプロンプトで、次のように入力します。

    set ns rpcnode <IP address> -secure YES

    RPC ノードパスワードの変更の詳細については、RPC ノードのパスワードを変更するを参照してください。

GUI を使用してセキュリティで保護された RPC を構成する

GUI を使用してセキュア RPC を設定するには、次の手順を実行します。

  1. アプライアンスの FIPS カードのハードウェアセキュリティモジュール (HSM) を初期化します。HSM の初期化については、HSM の設定を参照してください。
  2. セキュア情報システム(SIM)を有効にします。プライマリアプライアンスおよびセカンダリアプライアンスで SIM を有効にする方法については、高可用性セットアップでの FIPS アプライアンスの構成を参照してください。
  3. アプライアンスの FIPS カードの HSM に FIPS キーをインポートします。FIPS キーのインポートの詳細については、「既存の FIPS キーをインポートする」を参照してください。
  4. [トラフィック管理] > [SSL] > [証明書] に移動します。
  5. 詳細ペインで、[Install]をクリックします。
  6. [証明書のインストール] ダイアログボックスで、証明書の詳細を入力します。
  7. [ 作成] をクリックし、[ 閉じる] をクリックします。
  8. [ トラフィック管理 ] > [ ロードバランシング ] > [ サービス] に移動します。
  9. 詳細ペインの[Action]タブで、[Internal Services]をクリックします。
  10. 一覧から[nsrpcs-127.0.0.1-3008]を選択し、[Open]をクリックします。
  11. [Available]ペインの[SSL Settings]タブで、手順7で作成した証明書を選択して[Add]をクリックし、[OK]をクリックします。
  12. 一覧から[nskrpcs-127.0.0.1-3009]を選択し、[Open]をクリックします。
  13. [Available]ペインの[SSL Settings]タブで、手順7で作成した証明書を選択して[Add]をクリックし、[OK]をクリックします。
  14. 一覧から[nsrpcs-::11-3008]を選択し、[Open]をクリックします。
  15. [Available]ペインの[SSL Settings]タブで、手順7で作成した証明書を選択して[Add]をクリックし、[OK]をクリックします。
  16. [ OK] をクリックします。
  17. [システム] > [ネットワーク] > [RPC] に移動します。
  18. 詳細ペインで、IP アドレスを選択し、[開く] をクリックします。
  19. [Configure RPC Node]ダイアログボックスで、[Secure]を選択します。
  20. [ OK] をクリックします。

FIPS アプライアンスの初回設定