Citrix ADC

SDX 14030/14060/14080 FIPS アプライアンス上のインスタンスに対して FIPS キーを作成します

インスタンスに FIPS キーを作成することも、既存の FIPS キーをインスタンスにインポートすることもできます。SDX 14030/14060/14080 FIPS アプライアンスは、2048 ビットおよび 3072 ビットのキーと F4 の指数値のみをサポートします。PEM キーの場合、指数は必要ありません。FIPS キーが正しく作成されていることを確認します。証明書署名要求とサーバー証明書を作成します。最後に、証明書とキーのペアをインスタンスに追加します。

注:

1024 ビットおよび 4096 ビットのキーおよび指数値 3 はサポートされません。

CLI を使用して FIPS キーを作成する

コマンドプロンプトで、次のように入力します。

create ssl fipsKey <fipsKeyName> -keytype ( RSA | ECDSA ) [-exponent (3 | F4 )] [-modulus <positive_integer>] [-curve ( P_256 | P_384 )]

例:

create fipsKey f1 -keytype RSA -modulus 2048 -exponent F4

Done

show ssl fipskey ddvws

FIPS Key Name: f1  Key Type: RSA Modulus: 2048   Public Exponent: F4 (Hex: 0x10001)

Done

CLI を使用して FIPS キーをインポートする

コマンドプロンプトで、次のように入力します。

import ssl fipsKey <fipsKeyName> -key <string> [-inform <inform>] [-wrapKeyName <string>] [-iv<string>] [-exponent F4 ]

例:

import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform SIM -exponent F4
Done
import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform PEM
Done

show fipskey コマンドを実行して、FIPS キーが正しく作成またはインポートされていることを確認します。

show fipskey
1)      FIPS Key Name: Key-FIPS-2
Done

CLI を使用して証明書署名要求を作成する

コマンドプロンプトで、次のように入力します。

create ssl certReq <reqFile> (-keyFile <input_filename> | -fipsKeyName <string>) [-keyform ( DER | PEM )  {-PEMPassPhrase }] -countryName <string> -stateName <string> -organizationName<string> [-organizationUnitName <string>] [-localityName <string>] [-commonName <string>] [-emailAddress <string>] {-challengePassword } [-companyName <string>] [-digestMethod ( SHA1 | SHA256 )]

例:

create certreq f1.req –fipsKeyName f1 -countryName US -stateName CA -organizationName Citrix -companyName Citrix -commonName ctx -emailAddress test@example.com`
`Done

CLI を使用したサーバー証明書の作成

コマンドプロンプトで、次のように入力します。

create ssl cert <certFile> <reqFile> <certType> [-keyFile <input_filename>] [-keyform ( DER | PEM ) {-PEMPassPhrase }] [-days <positive_integer>] [-certForm ( DER | PEM )] [-CAcert <input_filename>] [-CAcertForm ( DER | PEM )] [-CAkey <input_filename>] [-CAkeyForm ( DER | PEM )] [-CAserial <output_filename>]

例:

create cert f1.cert f1.req SRVR_CERT -CAcert ns-root.cert -CAkey ns-root.key -CAserial ns-root.srl -days 1000
Done

上記の例では、アプライアンスのローカルルートCAを使用してサーバー証明書を作成します。

CLI を使用した証明書とキーのペアの追加

コマンドプロンプトで、次のように入力します。

add ssl certKey <certkeyName> (-cert <string> [-password]) [-key <string> | -fipsKey <string> | -hsmKey <string>] [-inform <inform>] [-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod   <positive_integer>]] [-bundle ( YES | NO )]

例:

add certkey cert1 -cert f1.cert -fipsKey f1
Done

FIPS キーおよびサーバー証明書を作成したら、汎用 SSL 設定を追加できます。展開に必要な機能を有効にします。サーバー、サービス、SSL 仮想サーバーを追加します。証明書とキーのペアとサービスを SSL 仮想サーバにバインドし、設定を保存します。

enable ns feature SSL LB
Done
add server s1 10.217.2.5
Done
add service sr1 s1 HTTP 80
Done
add lb vserver v1 SSL 10.217.2.172 443
Done
bind ssl vserver v1 –certkeyName cert1
Done
bind lb vserver v1 sr1
Done
saveconfig
Done

セキュア HTTPS およびセキュア RPC の構成については、「ここ」をクリックしてください。

SDX 14030/14060/14080 FIPS アプライアンス上のインスタンスに対して FIPS キーを作成します