ADC

FIPSカードのファームウェアをバージョン2.2にアップデート

重要MPX 9700/10500/12500/15500 FIPSプラットフォームは終焉を迎えている。

FIPS ファームウェアバージョン 2.2 では、TLS プロトコルバージョン 1.1 および 1.2 がサポートされています。コマンドラインから、Citrix ADC MPX 9700/10500/12500/15500 FIPSアプライアンスのFIPSカードのファームウェアバージョンをバージョン1.1からバージョン2.2にアップデートできます。

HA(高可用性)ペアでプライマリからセカンダリへの SIM キーの伝播を成功させるには、各アプライアンスの Cavium ファームウェアのバージョンが同じである必要があります。まず、セカンダリアプライアンスでファームウェアのアップデートを実行します。プライマリアプライアンスで最初に実行すると、長時間実行される更新プロセスによってフェールオーバーが発生します。

制限事項

  • セキュリティで保護された再ネゴシエーションは、SSL 仮想サーバーおよびフロントエンド SSL サービスでのみサポートされます。
  • ファームウェアバージョン 1.1 で作成され、ファームウェアバージョン 2.2 に更新されたキーを使用して証明書署名要求を作成すると失敗します。
  • ファームウェアバージョン 2.2 では 1024 ビット RSA キーを作成できません。ただし、ファームウェアバージョン 1.1 で 1024 ビット FIPS キーをインポートまたは作成した後、ファームウェアバージョン 2.2 にアップデートした場合は、ファームウェアバージョン 2.2 でその FIPS キーを使用できます。
  • 2048 ビット RSA キーのみがサポートされています。
  • 4096 ビットのクライアント証明書はサポートされていません (バックエンドサーバーでクライアント認証が有効になっている場合)。

  • SSLv3 プロトコルを使用したセキュアな再ネゴシエーションはサポートされていません。
  • ファームウェアをアップグレードすると、TLSv1.1 および TLSv1.2 は、既存の仮想サーバー、内部、フロントエンド、およびバックエンドサービスでデフォルトで無効になります。TLS 1.1/1.2 を使用するには、アップグレード後に SSL エンティティでこれらのプロトコルを明示的に有効にする必要があります。
  • ファームウェアバージョン 2.2 で作成された FIPS キーは、ファームウェアをバージョン 1.1 にダウングレードすると使用できません。

前提条件

www.citrix.comのダウンロードページから以下のファイルをダウンロードしてください。ファイルは、アプライアンスの /var/nsinstall ディレクトリに保存する必要があります。

  • FW 2.2 ファイル:FW-2.2-130013
  • FW 2.2シグネチャーファイル:FW-2.2-130013.sign

FW-2.2-130013が推奨されるファームウェアバージョンです。DRBG を改善するための修正が含まれています。

スタンドアロンアプライアンスで FIPS ファームウェアをバージョン 2.2 に更新します

  1. 管理者の資格情報を使用して、アプライアンスにログオンします。

  2. プロンプトで次のコマンドを入力して、FIPS カードが初期化されていることを確認します。

    show fips
    
    FIPS HSM Info:
    HSM Label       : Citrix ADC FIPS
    Initialization      : FIPS-140-2 Level-2
    HSM Serial Number   : 3.0G1235-ICM000264
    HSM State       : 2
    HSM Model       : NITROX XL CN1620-NFBE
    
    Hardware Version    : 2.0-G
    Firmware Version    : 1.1
    Firmware Release Date   : Jun04,2010
    
    Max FIPS Key Memory : 3996
    Free FIPS Key Memory    : 3992
    Total SRAM Memory   : 467348
    Free SRAM Memory    : 62512
    Total Crypto Cores  : 3
    Enabled Crypto Cores    : 1
    Done
    <!--NeedCopy-->
    
  3. 構成を保存します。プロンプトで、次のように入力します。

    save config
    <!--NeedCopy-->
    
  4. 更新を実行します。プロンプトで、次のように入力します。

    update ssl fips -fipsFW <path to the extracted contents>/CN16XX-NFBE-FW-2.2-1300013
    <!--NeedCopy-->
    

    次のプロンプトが表示されたら、Y キーを押します。

    This command will update compatible version of the FIPS firmware.  You must save the current configuration (saveconfig) before executing this command. You must reboot the system after execution of this command, for the firmware update to take effect. Do you want to continue?(Y/N)Y
    
    Done
    <!--NeedCopy-->
    

注: ファームウェアシグネチャファイルは同じ場所に配置されるため、ファームウェアファイルを指定するだけで済みます。

更新には最大 10 秒かかります。update コマンドはブロックされています。つまり、コマンドが終了するまで他のアクションは実行されません。コマンドの実行が完了すると、コマンドプロンプトが再表示されます。

  1. アプライアンスを再起動します。プロンプトで、次のように入力します。

    reboot
    
    Are you sure you want to restart NetScaler (Y/N)? [N]:Y
    <!--NeedCopy-->
    
  2. 更新が成功したことを確認します。プロンプトで、次のように入力します。

    show fips
    <!--NeedCopy-->
    

    出力に表示されるファームウェアのバージョンは 2.2 でなければなりません。次に例を示します:

    sh fips
        FIPS HSM Info:
            HSM Label       : Citrix ADC FIPS
            Initialization      : FIPS-140-2 Level-2
            HSM Serial Number   : 2.1G1207-IC002429
            HSM State       : 2
            HSM Model       : NITROX XL CN1620-NFBE
    
            Hardware Version    : 2.0-G
            Firmware Version    : 2.2
            Firmware Build         : NFBE-FW-2.2-130013
            Max FIPS Key Memory : 3996
            Free FIPS Key Memory    : 3982
            Total SRAM Memory   : 467348
            Free SRAM Memory    : 50472
            Total Crypto Cores  : 3
            Enabled Crypto Cores    : 1
    Done
    <!--NeedCopy-->
    

高可用性ペアのアプライアンスで FIPS ファームウェアをバージョン 2.2 に更新します

  1. セカンダリノードにログオンし、「スタンドアロンアプライアンスで FIPS ファームウェアをバージョン 2.2 に更新する」の説明に従ってアップデートを実行します。

    セカンダリノードを強制的にプライマリにします。プロンプトで、次のように入力します。

    force failover
    <!--NeedCopy-->
    

    確認プロンプトで Y キーを押します。

  2. 新しいセカンダリノード(古いプライマリ)にログオンし、「スタンドアロンアプライアンスで FIPS ファームウェアをバージョン 2.2 に更新する」の説明に従ってアップデートを実行します。

  3. 新しいセカンダリノードを再びプライマリにします。プロンプトで、次のように入力します。

    force failover
    <!--NeedCopy-->
    

    確認プロンプトで Y キーを押します。

スタンドアロンアプライアンスで FIPS ファームウェアをバージョン 1.1 に更新します

  1. www.citrix.comのダウンロードページから、nfb_ファームウェア-r1235_100604およびnfb_ファームウェア-r1235_100604.署名ファイルをアプライアンス上の同じディレクトリにダウンロードします。

  2. 管理者の資格情報を使用して、アプライアンスにログオンします。

  3. プロンプトで、次のように入力します。

    update ssl fips -fipsFW /<full path to the file>/nfb_firmware-r1235_100604
    <!--NeedCopy-->
    
FIPSカードのファームウェアをバージョン2.2にアップデート