Citrix ADC

高可用性セットアップでの FIPS アプライアンスの構成

高可用性 (HA) ペアの 2 つのアプライアンスを FIPS アプライアンスとして構成できます。

前提条件

  • 両方のアプライアンスでHardware Security Module (HSM) を構成する必要があります。詳しくは、「HSM の設定」を参照してください。
  • GUIを使用する場合、アプライアンスでHAセットアップ済みであることを確認します。HAセットアップの設定については、高可用性を参照してください。

注: この手順には構成ユーティリティ(GUI)を使用することをお勧めします。コマンドライン(CLI)を使用する場合は、手順に記載されている手順に注意深く従ってください。手順の順序を変更したり、誤った入力ファイルを指定したりすると、不整合が発生し、アプライアンスの再起動が必要になる場合があります。さらに、CLI を使用する場合、create ssl fipskeyコマンドはセカンダリノードに伝達されません。2 つの異なる FIPS アプライアンスで、モジュラスサイズと指数に対して同じ入力値を使用してコマンドを実行すると、生成されるキーは同一ではありません。一方のノードでFIPSキーを作成し、それをもう一方のノードに転送します。ただし、構成ユーティリティを使用して HA セットアップで FIPS アプライアンスを設定すると、作成した FIPS キーが自動的にセカンダリノードに転送されます。FIPS キーを管理および転送するプロセスは、セキュリティで保護された情報管理 (SIM) と呼ばれます。

重要:HAセットアップは6hunninaini ni いずれかのステップで手順が失敗した場合は、次のようにします。

  1. アプライアンスを再起動するか、10分間待ちます。
  2. 手順によって作成されたすべてのファイルを削除します。
  3. HAセットアップ手順を繰り返します。

既存のファイル名を再利用しないでください。

次の手順では、アプライアンス A がプライマリノード、アプライアンス B がセカンダリノードです。

CLI を使用して高可用性セットアップで FIPS アプライアンスを構成する

次の図は、CLIで転送プロセスをまとめたものです。

図1:FIPS キーサマリーを転送する

SIMプロセスの詳細

  1. アプライアンス A で、PuTTY などの SSH クライアントを使用してアプライアンスへの SSH 接続を開きます。

  2. 管理者の資格情報を使用して、アプライアンスにログオンします。

  3. アプライアンス A をソースアプライアンスとして初期化します。コマンドプロンプトで、次のように入力します。

    init ssl fipsSIMsource <certFile>
    

    例:

    init fipsSIMsource /nsconfig/ssl/nodeA.cert

  4. この<certFile>ファイルをアプライアンス B の /nconfig/ssl フォルダにコピーします。

    例:

    scp /nsconfig/ssl/nodeA.cert nsroot@198.51.100.10:/nsconfig/ssl

  5. アプライアンス B で、PuTTY などの SSH クライアントを使用してアプライアンスへの SSH 接続を開きます。

  6. 管理者の資格情報を使用して、アプライアンスにログオンします。

  7. アプライアンス B をターゲットアプライアンスとして初期化します。コマンドプロンプトで、次のように入力します。

    init ssl fipsSIMtarget <certFile> <keyVector> <targetSecret>
    

    例:

    init fipsSIMtarget /nsconfig/ssl/nodeA.cert /nsconfig/ssl/nodeB.key /nsconfig/ssl/nodeB.secret

  8. この<targetSecret>ファイルをアプライアンス A にコピーします。

    例:

    scp /nsconfig/ssl/fipslbdal0801b.secret nsroot@198.51.100.20:/nsconfig/ssl

  9. アプライアンス A で、アプライアンス A をソースアプライアンスとして有効にします。コマンドプロンプトで、次のように入力します。

    enable ssl fipsSIMSource <targetSecret> <sourceSecret>
    

    例: enable fipsSIMsource /nsconfig/ssl/nodeB.secret /nsconfig/ssl/nodeA.secret

  10. この<sourceSecret>ファイルをアプライアンス B にコピーします。

    例: scp /nsconfig/ssl/fipslbdal0801b.secret nsroot@198.51.100.10:/nsconfig/ssl

  11. アプライアンス B で、アプライアンス B をターゲットアプライアンスとして有効にします。コマンドプロンプトで、次のように入力します。

    enable ssl fipsSIMtarget <keyVector> <sourceSecret>
    

    例: enable fipsSIMtarget /nsconfig/ssl/nodeB.key /nsconfig/ssl/nodeA.secret

  12. アプライアンス A でFIPS キーを作成するの説明に従って FIPS キーを作成します。

  13. FIPS キーをエクスポートするの説明に従って、FIPS キーをアプライアンスのハードディスクにエクスポートします。

  14. SCP などの安全なファイル転送ユーティリティを使用して、セカンダリアプライアンスのハードディスクに FIPS キーをコピーします。

  15. アプライアンス B で既存の FIPS キーをインポートするの説明に従って、ハードディスクから FIPS キーをアプライアンスの HSM にインポートします。

GUI を使用して高可用性セットアップで FIPS アプライアンスを構成する

  1. ソースアプライアンスとして設定するアプライアンスで、トラフィック管理 > SSL > FIPSに移動します。
  2. 詳細ウィンドウの [FIPS 情報] タブで、[SIM を有効にする] をクリックします。
  3. [HAペアのSIMを有効にする]ダイアログボックスの[証明書ファイル名] テキストボックスに、ファイル名を入力します。ファイル名には、FIPS証明書をソースアプライアンスに保存する必要がある場所へのパスが含まれている必要があります。
  4. [キーベクターファイル名] テキストボックスに、ファイル名を入力します。ファイル名には、FIPSキーベクトルをソースアプライアンスに保存する必要がある場所へのパスが含まれている必要があります。
  5. [ターゲットシークレットファイル名]テキストボックスに、ターゲットアプライアンス上のシークレットデータを保存する場所を入力します。
  6. [Source Secret File Name]テキスト・ボックスに、ソース・アプライアンス上のシークレット・データを保存する場所を入力します。
  7. [リモートシステムログイン資格情報] で、セカンダリノードのユーザー名パスワードを入力します。
  8. [OK] をクリックします。これで、FIPS アプライアンスが HA モードに設定されます。

注: HA でアプライアンスを設定したら、FIPS キーを作成するの説明に従って FIPS キーを作成します。FIPS キーは、プライマリからセカンダリアプライアンスに自動的に転送されます。

高可用性セットアップでの FIPS アプライアンスの構成