Citrix ADC

在 SDX 14030/14060/14080 FIPS 设备上为实例创建 FIPS 密钥

您可以在实例上创建 FIPS 密钥或将现有 FIPS 密钥导入到实例中。SDX 14030/14060/14080 FIPS 设备仅支持 2048 位和 3072 位密钥,指数值为 F4。对于 PEM 键,不需要指数。验证 FIPS 密钥是否已正确创建。创建证书签名请求和服务器证书。最后,将证书密钥对添加到您的实例。

注意:

不支持 1024 位和 4096 位密钥以及指数值 3。

使用 CLI 创建 FIPS 密钥

在命令提示窗口中,键入:

create ssl fipsKey <fipsKeyName> -keytype ( RSA | ECDSA ) [-exponent (3 | F4 )] [-modulus <positive_integer>] [-curve ( P_256 | P_384 )]

示例:

create fipsKey f1 -keytype RSA -modulus 2048 -exponent F4

Done

show ssl fipskey ddvws

FIPS Key Name: f1  Key Type: RSA Modulus: 2048   Public Exponent: F4 (Hex: 0x10001)

Done

使用 CLI 导入 FIPS 密钥

在命令提示窗口中,键入:

import ssl fipsKey <fipsKeyName> -key <string> [-inform <inform>] [-wrapKeyName <string>] [-iv<string>] [-exponent F4 ]

示例:

import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform SIM -exponent F4
Done
import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform PEM
Done

通过运行 show fipskey 命令验证是否已正确创建或导入 FIPS 密钥

show fipskey
1)      FIPS Key Name: Key-FIPS-2
Done

使用 CLI 创建证书签名请求

在命令提示窗口中,键入:

create ssl certReq <reqFile> (-keyFile <input_filename> | -fipsKeyName <string>) [-keyform ( DER | PEM )  {-PEMPassPhrase }] -countryName <string> -stateName <string> -organizationName<string> [-organizationUnitName <string>] [-localityName <string>] [-commonName <string>] [-emailAddress <string>] {-challengePassword } [-companyName <string>] [-digestMethod ( SHA1 | SHA256 )]

示例:

create certreq f1.req –fipsKeyName f1 -countryName US -stateName CA -organizationName Citrix -companyName Citrix -commonName ctx -emailAddress test@example.com`
`Done

使用 CLI 创建服务器证书

在命令提示窗口中,键入:

create ssl cert <certFile> <reqFile> <certType> [-keyFile <input_filename>] [-keyform ( DER | PEM ) {-PEMPassPhrase }] [-days <positive_integer>] [-certForm ( DER | PEM )] [-CAcert <input_filename>] [-CAcertForm ( DER | PEM )] [-CAkey <input_filename>] [-CAkeyForm ( DER | PEM )] [-CAserial <output_filename>]

示例:

create cert f1.cert f1.req SRVR_CERT -CAcert ns-root.cert -CAkey ns-root.key -CAserial ns-root.srl -days 1000
Done

以上示例使用设备上的本地根 CA 创建服务器证书。

使用 CLI 添加证书密钥对

在命令提示窗口中,键入:

add ssl certKey <certkeyName> (-cert <string> [-password]) [-key <string> | -fipsKey <string> | -hsmKey <string>] [-inform <inform>] [-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod   <positive_integer>]] [-bundle ( YES | NO )]

示例:

add certkey cert1 -cert f1.cert -fipsKey f1
Done

创建 FIPS 密钥和服务器证书后,您可以添加通用 SSL 配置。启用部署所需的功能。添加服务器、服务和 SSL 虚拟服务器。将证书密钥对和服务绑定到 SSL 虚拟服务器,并保存配置。

enable ns feature SSL LB
Done
add server s1 10.217.2.5
Done
add service sr1 s1 HTTP 80
Done
add lb vserver v1 SSL 10.217.2.172 443
Done
bind ssl vserver v1 –certkeyName cert1
Done
bind lb vserver v1 sr1
Done
saveconfig
Done

有关配置安全 HTTPS 和安全 RPC 的信息,请单击此处

在 SDX 14030/14060/14080 FIPS 设备上为实例创建 FIPS 密钥