Citrix ADC

在高可用性设置中在设备上配置 FIPS

您可以将高可用性 (HA) 对中的两个设备配置为 FIPS 设备。有关配置 HA 设置的信息,请参阅高可用性

注意: Citrix 建议您使用配置实用程序 (GUI) 执行此过程。如果您使用命令行 (CLI),请确保仔细遵循过程中列出的步骤。更改步骤顺序或指定不正确的输入文件可能会导致不一致,需要重新启动设备。此外,如果使用 CLI,则 create ssl fipskey 命令不会传播到辅助节点。在两个不同的 FIPS 设备上使用相同的模数大小和指数输入值运行命令时,生成的密钥不相同。在其中一个节点上创建 FIPS 密钥,然后将其传输到另一个节点。但是,如果您使用配置实用程序在 HA 设置中配置 FIPS 设备,您创建的 FIPS 密钥将自动传输到辅助节点。管理和传输 FIPS 密钥的过程称为安全信息管理 (SIM)。

重要提示: HA 设置必须在六分钟内完成。如果过程在任何步骤失败,请执行以下操作:

  1. 重新启动设备或等待 10 分钟。
  2. 删除该过程创建的所有文件。
  3. 重复 HA 设置过程。

请勿重复使用现有文件名。

在以下过程中,设备 A 是主节点,设备 B 是辅助节点。

使用 CLI 在高可用性设置中在设备上配置 FIPS

下图总结了 CLI 上的传输过程。

图 1. 转移 FIPS 密钥摘要

SIM 流程详细信息

  1. 在设备 A 上,使用 SSH 客户端(如 PuTTY)打开与设备的 SSH 连接。

  2. 使用管理员凭据登录到设备。

  3. 将设备 A 初始化为源设备。在命令提示窗口中,键入:

    init ssl fipsSIMsource <certFile>
    

    示例:

    init fipsSIMsource /nsconfig/ssl/nodeA.cert

  4. 将此<certFile> 文件复制到 /nconfig/ssl 文件夹中的设备 B。

    示例:

    scp /nsconfig/ssl/nodeA.cert nsroot@198.51.100.10:/nsconfig/ssl

  5. 在设备 B 上,使用 SSH 客户端(如 PuTTY)打开与设备之间的 SSH 连接。

  6. 使用管理员凭据登录到设备。

  7. 将设备 B 初始化为目标设备。在命令提示窗口中,键入:

    init ssl fipsSIMtarget <certFile> <keyVector> <targetSecret>
    

    示例:

    init fipsSIMtarget /nsconfig/ssl/nodeA.cert /nsconfig/ssl/nodeB.key /nsconfig/ssl/nodeB.secret

  8. 将此<targetSecret> 文件复制到设备 A。

    示例:

    scp /nsconfig/ssl/fipslbdal0801b.secret nsroot@198.51.100.20:/nsconfig/ssl

  9. 在设备 A上,启用设备 A 作为源设备。在命令提示窗口中,键入:

    enable ssl fipsSIMSource <targetSecret> <sourceSecret>
    

    示例: enable fipsSIMsource /nsconfig/ssl/nodeB.secret /nsconfig/ssl/nodeA.secret

  10. 将此<sourceSecret> 文件复制到设备 B。

    示例: scp /nsconfig/ssl/fipslbdal0801b.secret nsroot@198.51.100.10:/nsconfig/ssl

  11. 在设备 B上,启用设备 B 作为目标设备。在命令提示窗口中,键入:

    enable ssl fipsSIMtarget <keyVector> <sourceSecret>
    

    示例: enable fipsSIMtarget /nsconfig/ssl/nodeB.key /nsconfig/ssl/nodeA.secret

  12. 在设备 A上,创建 FIPS 密钥,如中所述创建 FIPS 密钥

  13. 将 FIPS 密钥导出到设备的硬盘,如中所述导出 FIPS 密钥

  14. 使用安全文件传输实用程序(如 SCP)将 FIPS 密钥复制到辅助设备的硬盘。

  15. 设备 B 上,将 FIPS 密钥从硬盘导入设备的 HSM,如中所述导入现有的 FIPS 密钥

在高可用性设置中使用 GUI 在设备上配置 FIPS

  1. 在要配置为源(主)设备的设备上,导航到流量管理”>“SSL”>“FIPS
  2. 在详细信息窗格中的 FIPS 信息选项卡上,单击 启用 SIM卡。
  3. 为 HA 对启用 SIM”对 话框的证书文件名文本框中,键入文件名。文件名必须包含源设备上必须存储 FIPS 证书的位置的路径。
  4. 键矢量文件名文本框中,键入文件名。文件名必须包含源设备上必须存储 FIPS 密钥矢量的位置的路径。
  5. 在“目 标密钥文件名文本框中,键入用于在目标设备上存储密钥数据的位置。
  6. 源密钥文件名文本框中,键入用于在源设备上存储密钥数据的位置。
  7. 辅助系统登录凭据下,输入用户名密码的值。
  8. 单击确定。FIPS 设备现在配置为 HA 模式。

注意: 在 HA 中配置设备后,创建 FIPS 密钥,如创建 FIPS 密钥中所述。FIPS 密钥会自动从主设备传输到辅助设备。

在高可用性设置中在设备上配置 FIPS