高可用性セットアップのアプライアンスで FIPS を構成する
高可用性 (HA) ペアの 2 つのアプライアンスを FIPS アプライアンスとして構成できます。HA セットアップの設定については、高可用性を参照してください。
注: この手順には構成ユーティリティ(GUI)を使用することをお勧めします。コマンドライン(CLI)を使用する場合は、手順に記載されている手順に注意深く従ってください。手順の順序を変更したり、誤った入力ファイルを指定したりすると、矛盾が生じてアプライアンスの再起動が必要になる場合があります。さらに、CLI を使用する場合、create ssl fipskey
コマンドはセカンダリノードに伝播されません。2 つの異なる FIPS アプライアンスで、モジュラスサイズと指数に対して同じ入力値を使用してコマンドを実行すると、生成されるキーは同じではありません。いずれかのノードに FIPS キーを作成し、他のノードに転送します。ただし、構成ユーティリティを使用して HA セットアップで FIPS アプライアンスを設定すると、作成した FIPS キーが自動的にセカンダリノードに転送されます。FIPS キーを管理および転送するプロセスは、セキュリティで保護された情報管理 (SIM) と呼ばれます。
重要: HAの設定は、6分以内に完了する必要があります。手順がいずれかの手順で失敗した場合は、次の手順を実行します。
- アプライアンスを再起動するか、10分間待ちます。
- プロシージャによって作成されたすべてのファイルを削除します。
- HA セットアップ手順を繰り返します。
既存のファイル名は再利用しないでください。
次の手順では、アプライアンス A がプライマリノード、アプライアンス B がセカンダリノードです。
CLI を使用した高可用性セットアップのアプライアンスの FIPS の設定
次の図は、CLI での転送プロセスをまとめたものです。
図1:FIPS キーサマリーを転送する
-
アプライアンス A で、PuTTY などの SSH クライアントを使用してアプライアンスへの SSH 接続を開きます。
-
管理者の資格情報を使用して、アプライアンスにログオンします。
-
アプライアンス A をソースアプライアンスとして初期化します。コマンドプロンプトで、次のように入力します。
init ssl fipsSIMsource <certFile>
例:
init fipsSIMsource /nsconfig/ssl/nodeA.cert
-
この
<certFile>
ファイルをアプライアンス B の /nconfig/ssl フォルダにコピーします。例:
scp /nsconfig/ssl/nodeA.cert nsroot@198.51.100.10:/nsconfig/ssl
-
アプライアンス B で、PuTTY などの SSH クライアントを使用してアプライアンスへの SSH 接続を開きます。
-
管理者の資格情報を使用して、アプライアンスにログオンします。
-
アプライアンス B をターゲットアプライアンスとして初期化します。コマンドプロンプトで、次のように入力します。
init ssl fipsSIMtarget <certFile> <keyVector> <targetSecret>
例:
init fipsSIMtarget /nsconfig/ssl/nodeA.cert /nsconfig/ssl/nodeB.key /nsconfig/ssl/nodeB.secret
-
この
<targetSecret>
ファイルをアプライアンス A にコピーします。例:
scp /nsconfig/ssl/fipslbdal0801b.secret nsroot@198.51.100.20:/nsconfig/ssl
-
アプライアンス A で、アプライアンス A をソースアプライアンスとして有効にします。コマンドプロンプトで、次のように入力します。
enable ssl fipsSIMSource <targetSecret> <sourceSecret>
例:
enable fipsSIMsource /nsconfig/ssl/nodeB.secret /nsconfig/ssl/nodeA.secret
-
この
<sourceSecret>
ファイルをアプライアンス B にコピーします。例:
scp /nsconfig/ssl/fipslbdal0801b.secret nsroot@198.51.100.10:/nsconfig/ssl
-
アプライアンス B で、アプライアンス B をターゲットアプライアンスとして有効にします。コマンドプロンプトで、次のように入力します。
enable ssl fipsSIMtarget <keyVector> <sourceSecret>
例:
enable fipsSIMtarget /nsconfig/ssl/nodeB.key /nsconfig/ssl/nodeA.secret
-
アプライアンス A で、FIPS キーを作成するの説明に従って FIPS キーを作成します。
-
FIPS キーをエクスポートするの説明に従って、FIPS キーをアプライアンスのハードディスクにエクスポートします。
-
SCP などの安全なファイル転送ユーティリティを使用して、セカンダリアプライアンスのハードディスクに FIPS キーをコピーします。
-
アプライアンス B で、既存の FIPS キーをインポートするの説明に従って、ハードディスクから FIPS キーをアプライアンスの HSM にインポートします。
GUI を使用して高可用性セットアップのアプライアンスで FIPS を構成する
- ソース(プライマリ)アプライアンスとして設定するアプライアンスで、[トラフィック管理] > [SSL] > [FIPS]に移動します。
- 詳細ウィンドウの [FIPS 情報] タブで、[SIM を有効にする] をクリックします。
- [HA ペア用の SIM を有効にする] ダイアログボックスの [証明書ファイル名] ボックスに、ファイル名を入力します。ファイル名には、FIPS 証明書をソースアプライアンスに保存する必要がある場所へのパスを含める必要があります。
- [キーベクトルファイル名] テキストボックスに、ファイル名を入力します。ファイル名には、ソースアプライアンスに FIPS キーベクトルを保存する必要がある場所へのパスを含める必要があります。
- [ターゲットシークレットファイル名]テキストボックスに、ターゲットアプライアンスにシークレットデータを格納する場所を入力します。
- [Source Secret File Name] テキストボックスに、ソースアプライアンス上のシークレットデータを格納する場所を入力します。
- [セカンダリシステムログイン資格情報] で、[ユーザー名] と [パスワード] の値を入力します。
- [OK] をクリックします。これで、FIPS アプライアンスが HA モードに設定されます。
注: HA でアプライアンスを設定したら、FIPS キーを作成するの説明に従って FIPS キーを作成します。FIPS キーは、プライマリアプライアンスからセカンダリアプライアンスに自動的に転送されます。