首次配置 FIPS 设备

要对配置实用程序进行 HTTPS 访问并保护远程过程调用,需要证书-密钥对。RPC 节点是内部系统实体,用于系统与系统之间的配置和会话信息通信。每个设备上都有一个 RPC 节点。此节点可存储密码,针对通过联系设备提供的密码进行核对。要与其他 Citrix ADC 设备通信,每个设备都需要了解其他设备,包括如何在其他设备上进行身份验证。RPC 节点维护此信息,其中包括其他 Citrix ADC 设备的 IP 地址以及用于对每个设备进行身份验证的密码。

在 Citrix ADC MPX 设备虚拟设备上,证书密钥对会自动绑定到内部服务。在 FIPS 设备上,必须将证书-密钥对导入到 FIPS 卡的硬件安全模块 (HSM) 中。要执行此操作,必须配置 FIPS 卡,创建证书-密钥对,并将其绑定到内部服务。

使用 CLI 配置安全 HTTPS

要使用 CLI 配置安全 HTTPS,请按照下列步骤操作

  1. 在设备的 FIPS 卡上初始化硬件安全模块 (HSM)。有关初始化 HSM 的信息,请参阅配置 HSM

  2. 如果设备是高可用性设置的一部分,请启用 SIM。有关在主设备和辅助设备上启用 SIM 的信息,请参阅在高可用性设置中配置 FIPS 设备

  3. 将 FIPS 密钥导入到设备的 FIPS 卡的 HSM 中。在命令提示窗口中,键入:

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. 添加证书-密钥对。在命令提示窗口中,键入:

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. 将上一步中创建的证书-密钥绑定到以下内部服务。在命令提示窗口中,键入:

    bind ssl service nshttps-127.0.0.1-443 -certkeyname server

    bind ssl service nshttps-::11-443 -certkeyname server

使用 GUI 配置安全 HTTPS

若要使用 GUI 配置安全 HTTPS,请按照下列步骤操作:

  1. 在设备的 FIPS 卡上初始化硬件安全模块 (HSM)。有关初始化 HSM 的信息,请参阅配置 HSM

  2. 如果设备是高可用性设置的一部分,请启用安全信息系统 (SIM)。有关在主设备和辅助设备上启用 SIM 的信息,请参阅在高可用性设置中配置 FIPS 设备
  3. 将 FIPS 密钥导入到设备的 FIPS 卡的 HSM 中。有关导入 FIPS 密钥的详细信息,请参阅导入现有的 FIPS 密钥部分。
  4. 导航到 Traffic Management(流量管理)> SSL > Certificates(证书)。
  5. 在详细信息窗格中,单击安装。
  6. 在“安装证书”对话框中,键入证书详细信息。
  7. 单击 Create(创建),然后单击 Close(关闭)。
  8. 导航到 Traffic Management(流量管理)> Load Balancing(负载平衡)> Services(服务)。
  9. 在详细信息窗格的“操作”选项卡上,单击“内部服务”。
  10. 从列表中选择 nshttps-127.0.0.1-443,然后单击 Open(打开)。
  11. 在“SSL 设置”选项卡上的“可用”窗格中,选择在步骤 7 中创建的证书,单击“添加”,然后单击“确定”。
  12. 从列表中选择 nshttps-::11-443,然后单击 Open(打开)。
  13. 在“SSL 设置”选项卡上的“可用”窗格中,选择在步骤 7 中创建的证书,单击“添加”,然后单击“确定”。
  14. 单击确定。

使用 CLI 配置安全的 RPC

要使用 CLI 配置安全 RPC,请按照下列步骤操作:

  1. 在设备的 FIPS 卡上初始化硬件安全模块 (HSM)。有关初始化 HSM 的信息,请参阅配置 HSM

  2. 启用安全信息系统 (SIM)。有关在主设备和辅助设备上启用 SIM 的信息,请参阅在高可用性设置中配置 FIPS 设备

  3. 将 FIPS 密钥导入到设备的 FIPS 卡的 HSM 中。在命令提示窗口中,键入:

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. 添加证书-密钥对。在命令提示窗口中,键入:

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. 将证书-密钥对绑定到以下内部服务。在命令提示窗口中,键入:

    bind ssl service nsrpcs-127.0.0.1-3008 -certkeyname server

    bind ssl service nskrpcs-127.0.0.1-3009 -certkeyname server

    bind ssl service nsrpcs-::1l-3008 -certkeyname server

  6. 启用安全 RPC 模式。在命令提示窗口中,键入:

    set ns rpcnode <IP address> -secure YES

    有关更改 RPC 节点密码的更多信息,请参阅更改 RPC 节点密码

使用 GUI 配置安全的 RPC

若要使用 GUI 配置安全 RPC,请按照下列步骤操作:

  1. 在设备的 FIPS 卡上初始化硬件安全模块 (HSM)。有关初始化 HSM 的信息,请参阅配置 HSM
  2. 启用安全信息系统 (SIM)。有关在主设备和辅助设备上启用 SIM 的信息,请在高可用性设置中配置 FIPS 设备
  3. 将 FIPS 密钥导入到设备的 FIPS 卡的 HSM 中。有关导入 FIPS 密钥的详细信息,请参阅导入现有的 FIPS 密钥部分。
  4. 导航到 Traffic Management(流量管理)> SSL > Certificates(证书)。
  5. 在详细信息窗格中,单击安装。
  6. 在“安装证书”对话框中,键入证书详细信息。
  7. 单击 Create(创建),然后单击 Close(关闭)。
  8. 导航到 Traffic Management(流量管理)> Load Balancing(负载平衡)> Services(服务)。
  9. 在详细信息窗格的“操作”选项卡上,单击“内部服务”。
  10. 从列表中选择 nsrpcs-127.0.0.1-3008,然后单击 Open(打开)。
  11. 在“SSL 设置”选项卡上的“可用”窗格中,选择在步骤 7 中创建的证书,单击“添加”,然后单击“确定”。
  12. 从列表中选择 nskrpcs-127.0.0.1-3009,然后单击 Open(打开)。
  13. 在“SSL 设置”选项卡上的“可用”窗格中,选择在步骤 7 中创建的证书,单击“添加”,然后单击“确定”。
  14. 从列表中选择 nsrpcs-::11-3008,然后单击 Open(打开)。
  15. 在“SSL 设置”选项卡上的“可用”窗格中,选择在步骤 7 中创建的证书,单击“添加”,然后单击“确定”。
  16. 单击确定。
  17. 导航到系统 > 网络 > RPC。
  18. 在详细信息窗格中,选择 IP 地址并单击 Open(打开)。
  19. 在“配置 RPC 节点”对话框中,选择“安全”。
  20. 单击确定。