Citrix ADC

MPX 14000 FIPSアプライアンス

重要:

NetScaler MPX 14000 FIPSアプライアンスとNetScaler MPX 9700/10500/12500/15500 FIPSアプライアンスの構成手順は異なります。MPX 14000 FIPS アプライアンスは、ファームウェア v2.2 を使用しません。MPX 9700 プラットフォームの HSM で作成された FIPS キーは、MPX 14000 プラットフォームの HSM に転送できず、その逆も同様です。ただし、RSA キーを FIPS キーとしてインポートした場合は、MPX 14000 プラットフォームに RSA キーをコピーし、FIPS キーとしてインポートできます。2048 ビットおよび 3072 ビットのキーのみがサポートされています。

FIPS アプライアンスには、改ざん防止(改ざん防止)暗号化モジュール(Cavium CNN3560-NFBE-G)が装備されており、FIPS 140-2 レベル 3 仕様(リリース 12.0 ビルド 56.x 以降)に準拠するように設計されています。重要なセキュリティパラメータ (CSP) は、主にサーバーの秘密キーであり、暗号化モジュール (HSM) とも呼ばれます。暗号化モジュール (HSM) 内に安全に保存され、生成されます。CSP は、HSM の境界外でアクセスされることはありません。スーパーユーザー (nsroot) のみが、HSM 内に格納されているキーに対して操作を実行できます。

FIPS アプライアンスを設定する前に、FIPS カードの状態を確認してから、カードを初期化する必要があります。FIPS キーとサーバー証明書を作成し、追加の SSL 構成を追加します。

サポートされている FIPS 暗号の詳細については、FIPS 承認アルゴリズムと暗号を参照してください。

高可用性セットアップでの FIPS アプライアンスの設定については、高可用性セットアップでの FIPS アプライアンスの設定を参照してください。

制限事項

  1. SSLv3 プロトコルを使用した SSL 再ネゴシエーションは、MPX FIPS アプライアンスのバックエンドではサポートされません。
  2. 1024 ビットおよび 4096 ビットのキーおよび指数値 3 はサポートされません。
  3. 4096 ビットサーバ証明書はサポートされていません。
  4. 4096 ビットのクライアント証明書はサポートされていません (バックエンドサーバーでクライアント認証が有効になっている場合)。

HSM の設定

MPX 14000 FIPS アプライアンスで HSM を設定する前に、FIPS カードの状態をチェックして、ドライバが正しくロードされていることを確認してください。その後、カードを初期化します。

コマンドプロンプトで、次のように入力します。

show fips

FIPS Card is not configured
Done

ドライバが正しくロードされていない場合、「エラー:操作は許可されていません-システムにFIPSカードがありません」というメッセージが表示されます。

FIPS カードの初期化

FIPS カードを適切に初期化するには、アプライアンスを 3 回再起動する必要があります。

重要

  • アプライアンスで /nsconfig/fips ディレクトリが正常に作成されたことを確認します。
  • アプライアンスを 3 回目に再起動する前に、設定を保存しないでください。

FIPSカードを初期化するには、次の手順に従います。

  1. FIPSカードをリセットします。
  2. アプライアンスを再起動します。
  3. パーティション 0 と 1 のセキュリティ担当者のパスワードと、パーティションのユーザーパスワードを設定します。

    注:set コマンドまたは reset コマンドの実行には 60 秒以上かかります。

  4. 構成を保存します。
  5. マスターパーティション(master_pek.key)のパスワード暗号化キーが /nsconfig/fips/ ディレクトリに作成されていることを確認します。
  6. アプライアンスを再起動します。
  7. デフォルトのパーティション(default_pek.key)のパスワード暗号化キーが /nsconfig/fips/ ディレクトリに作成されていることを確認します。
  8. アプライアンスを再起動します。
  9. FIPS カードが稼動していることを確認します。

CLI を使用した FIPS カードの初期化

set fipsコマンドは、FIPS カードのハードウェアセキュリティモジュール (HSM) を初期化し、新しいセキュリティ担当者のパスワードとユーザーパスワードを設定します。

注意: このコマンドは、FIPS カード上のすべてのデータを消去します。コマンドの実行を続行する前に、プロンプトが表示されます。変更を適用するには、このコマンドの実行前と実行後に再起動が必要です。このコマンドを実行した後、アプライアンスを再起動する前に、設定を保存します。

コマンドプロンプトで、次のコマンドを入力します。

reset fips
 Done

reboot

set fips -initHSM Level-2 so12345 so12345 user123 -hsmLabel NSFIPS

This command will erase all data on the FIPS card. You must save the configuration (saveconfig) after executing this command. Do you want to continue?(Y/N)y

Done

:set fipsコマンドを実行すると、次のメッセージが表示されます。

This command will erase all data on the FIPS card. You must save the configuration (saveconfig) after executing this command. [Note: On MPX/SDX 14xxx FIPS platform, the FIPS security is at Level-3 by default, and the -initHSM Level-2 option is internally converted to Level-3]  Do you want to continue?(Y/N)y

saveconfig
Done

reboot

reboot

show fips

        FIPS HSM Info:
                 HSM Label              : NetScaler FIPS
                 Initialization         : FIPS-140-2 Level-3
                 HSM Serial Number      : 3.1G1836-ICM000136
                 HSM State              : 2
                 HSM Model              : NITROX-III CNN35XX-NFBE
                 Hardware Version       : 0.0-G
                 Firmware Version       : 1.0
                 Firmware Build         : NFBE-FW-1.0-48
                 Max FIPS Key Memory    : 102235
                 Free FIPS Key Memory   : 102231
                 Total SRAM Memory      : 557396
                 Free SRAM Memory       : 262780
                 Total Crypto Cores     : 63
                 Enabled Crypto Cores   : 63
 Done

FIPS キーの作成

MPX 14000 FIPS アプライアンスで FIPS キーを作成するか、既存の FIPS キーをアプライアンスにインポートできます。MPX 14000 FIPS アプライアンスは、2048 ビットおよび 3072 ビットのキーのみをサポートし、指数値 F4 (値は 65537) をサポートします。PEM キーの場合、指数は必要ありません。FIPS キーが正しく作成されていることを確認します。証明書署名要求とサーバー証明書を作成します。最後に、証明書とキーのペアをアプライアンスに追加します。

キータイプ(RSA または ECDSA)を指定します。ECDSA キーの場合は、カーブだけを指定します。

1024 ビットおよび 4096 ビットのキーおよび指数値 3 はサポートされません。

CLI を使用して FIPS キーを作成する

コマンドプロンプトで、次のように入力します。

create ssl fipsKey <fipsKeyName> -keytype ( RSA | ECDSA ) [-exponent ( 3 | F4 )] [-modulus <positive_integer>] [-curve ( P_256 | P_384 )]

Example1:

create fipsKey f1 -keytype RSA -modulus 2048 -exponent F4
Done

show ssl fipskey f1

FIPS Key Name: f1  Key Type: RSA Modulus: 2048   Public Exponent: F4 (Hex: 0x10001)
Done

Example2:

> create fipskey f2 -keytype ECDSA -curve P_256
 Done

> sh fipskey f2
    FIPS Key Name: f2   Key Type: ECDSA Curve: P_256
 Done

CLI を使用して FIPS キーをインポートする

コマンドプロンプトで、次のように入力します。

import ssl fipsKey <fipsKeyName> -key <string> [-inform <inform>] [-wrapKeyName <string>] [-iv<string>] -exponent  F4 ]

例:

import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform SIM -exponent F4
Done

import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform PEM
Done

show fipskeyコマンドを実行して、FIPS キーが正しく作成またはインポートされていることを確認します。

show fipskey
1)      FIPS Key Name: Key-FIPS-2
Done

CLI を使用して証明書署名要求を作成する

コマンドプロンプトで、次のように入力します。

create ssl certReq <reqFile> (-keyFile <input_filename> | -fipsKeyName <string>) [-keyform ( DER | PEM )  {-PEMPassPhrase }] -countryName <string> -stateName <string> -organizationName<string> [-organizationUnitName <string>] [-localityName <string>] [-commonName <string>] [-emailAddress <string>] {-challengePassword } [-companyName <string>] [-digestMethod ( SHA1 | SHA256 )]

例:

>create certreq f1.req –fipsKeyName  f1 -countryName US  -stateName CA -organizationName Citrix -companyName Citrix -commonName ctx -emailAddress test@example.com
Done

CLI を使用したサーバー証明書の作成

コマンドプロンプトで、次のように入力します。

create ssl cert <certFile> <reqFile> <certType> [-keyFile <input_filename>] [-keyform ( DER | PEM ) {-PEMPassPhrase }] [-days <positive_integer>] [-certForm ( DER | PEM )] [-CAcert <input_filename>] [-CAcertForm ( DER | PEM )] [-CAkey <input_filename>][-CAkeyForm ( DER | PEM )] [-CAserial <output_filename>]

例:

create cert f1.cert f1.req SRVR_CERT -CAcert ns-root.cert -CAkey ns-root.key -CAserial ns-root.srl -days 1000
Done

前の例では、アプライアンスのローカルルートCAを使用してサーバー証明書を作成します。

CLI を使用した証明書とキーのペアの追加

コマンドプロンプトで、次のように入力します。

add ssl certKey <certkeyName> (-cert <string> [-password]) [-key <string> | -fipsKey <string> | -hsmKey <string>] [-inform <inform>][-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod <positive_integer>]] [-bundle ( YES | NO )]

例:

add certkey cert1 -cert f1.cert -fipsKey f1
Done

FIPS キーおよびサーバー証明書を作成したら、汎用 SSL 設定を追加できます。展開に必要な機能を有効にします。サーバー、サービス、SSL 仮想サーバーを追加します。証明書とキーのペアとサービスを SSL 仮想サーバーにバインドします。構成を保存します。

enable ns feature SSL LB
Done

add server s1 10.217.2.5
Done

add service sr1 s1 HTTP 80
Done

add lb vserver v1 SSL 10.217.2.172 443
Done

bind ssl vserver v1 –certkeyName cert1
Done

bind lb vserver v1 sr1
Done

 saveconfig
Done

これで、MPX 14000 FIPS アプライアンスの基本構成が完了しました。

セキュア HTTPS の設定については、「ここ」をクリックしてください。

セキュア RPC の構成については、ここをクリックしてください。

MPX 14000 FIPS アプライアンスのライセンスを更新する

このプラットフォームでライセンスを更新するには、2 つの再起動が必要です。

  1. /nsconfig/licenseフォルダ内のライセンスを更新します。
  2. アプライアンスを再起動します。
  3. アプライアンスにログオンします。
  4. アプライアンスを再度再起動します。 注: 2 回目の再起動の前に、新しいコマンドを追加したり、設定を保存したり、システム状態を確認したりしないでください。
  5. アプライアンスにログオンし、show ssl fips コマンドを実行して FIPS が初期化されていることを確認します。

MPX 14000 FIPS および SDX 14000 FIPS プラットフォームでのハイブリッド FIPS モードのサポート

注:

この機能は、1 つのプライマリ FIPS カードと 1 つ以上のセカンダリカードを含む新しい MPX/SDX 14000 FIPS プラットフォームでのみサポートされます。VPXプラットフォームまたは1種類のハードウェアカードのみを含むプラットフォームではサポートされません。

FIPS プラットフォームでは、セキュリティ上の理由から、暗号化と復号化(非対称および対称)が FIPS カードで実行されます。ただし、このアクティビティの一部 (非対称) を FIPS カードで実行し、キーのセキュリティを損なうことなく、一括暗号化と復号化 (対称) を別のカードにオフロードできます。

新しい MPX/SDX 14000 FIPS プラットフォームには、1 つのプライマリカードと 1 つ以上のセカンダリカードが含まれています。ハイブリッド FIPS モードを有効にすると、秘密キーがこのカードに格納されるため、マスターシークレット復号化前のコマンドがプライマリカードで実行されます。ただし、一括暗号化と復号化は、セカンダリカードにオフロードされます。このオフロードは、非ハイブリッド FIPS モードおよび既存の MPX 9700/10500/12500/15000 FIPS プラットフォームと比較して、MPX/SDX 14000 FIPS プラットフォームでの一括暗号化スループットを大幅に向上させます。ハイブリッド FIPS モードを有効にすると、このプラットフォームの SSL トランザクション/秒も向上します。

注:

  • ハイブリッド FIPS モードは、すべての暗号計算が FIPS 認定モジュール内で行われる必要がある厳格な認定要件を満たすために、デフォルトで無効になっています。ハイブリッドモードを有効にして、一括暗号化と復号化をセカンダリカードにオフロードします。

  • SDX 14000 FIPSプラットフォームでは、ハイブリッドモードを有効にする前に、まずSSLチップをVPXインスタンスに割り当てる必要があります。

CLI を使用してハイブリッド FIPS モードを有効にする

コマンドプロンプトで、次のように入力します。

set SSL parameter -hybridFIPSMode {ENABLED|DISABLED}

Arguments

hybridFIPSMode

When this mode is enabled, system will use additional crypto hardware to accelerate symmetric crypto operations.

Possible values: ENABLED, DISABLED

Default value: DISABLED

例:

    set SSL parameter -hybridFIPSMode ENABLED
    show SSL parameter
    Advanced SSL Parameters
    -----------------------
    . . . . . . . . . . . .
    Hybrid FIPS Mode    : ENABLED
    . . . . . . . . . . . .
    Done

GUI を使用してハイブリッド FIPS モードを有効にする

  1. [トラフィック管理] > [SSL] に移動します。
  2. 詳細ウィンドウで、[設定] の [SSL の詳細設定の変更] をクリックします。
  3. [SSL の詳細設定の変更] ダイアログボックスで、[ハイブリッド FIPS モード] を選択します。

制限事項:

  1. 再ネゴシエーションはサポートされていません。

  2. SDX 14000 プラットフォームのstat ssl parameter コマンドでは、セカンダリカードの使用率が正しく表示されません。常に 0.00% の使用率が表示されます。

stat ssl

SSL Summary
# SSL cards present 1
# SSL cards UP  1
# Secondary SSL cards present   4
# Secondary SSL cards UP    4
SSL engine status      1
SSL sessions (Rate)     963
Secondary card utilization (%)     0.00