在高可用性设置中配置 FIPS 设备

您可以将高可用性 (HA) 对中的两个设备配置为 FIPS 设备。有关配置 HA 设置的信息,请参阅高可用性

注意: Citrix 建议您使用配置实用程序 (GUI) 执行此过程。如果您使用命令行 (CLI),请确保仔细遵循过程中列出的步骤。更改步骤顺序或指定错误的输入文件可能会导致不一致,需要重新启动设备。此外,如果您使用 CLI,则 创建 ssl fipskey 命令不会传播到辅助节点。在两个不同的 FIPS 设备上使用相同的模数大小输入值和指数执行命令时,生成的密钥不相同。您必须在其中一个节点上创建 FIPS 密钥,然后将其传输到另一个节点。但是,如果您使用配置实用程序在 HA 设置中配置 FIPS 设备,您创建的 FIPS 密钥将自动传输到辅助节点。管理和传输 FIPS 密钥的过程称为安全信息管理 (SIM)。

重要提示: 在 MPX 9700/10500/12500/15500 FIPS 设备上,HA 设置应在六分钟内完成。如果该过程需要的时间超过六分钟,FIPS 卡的内部计时器过期,并显示以下错误消息:

错误:操作超时或重复,请等待 10 分钟,然后重新执行 SIM/HA 配置步骤。

如果出现此消息,请重新启动设备或等待 10 分钟,然后重复 HA 设置过程。

在以下过程中,设备 A 是主节点,设备 B 是辅助节点。

使用 CLI 在高可用性设置中配置 FIPS 设备

  1. 在设备 A 上,使用 SSH 客户端(如 PuTTY)打开与设备的 SSH 连接。

  2. 使用管理员凭据登录到设备。

  3. 将设备 A 初始化为源设备。在命令提示窗口中,键入:

    init ssl fipsSIMsource <certFile>
    
  4. 将此<certFile> 文件复制到 /nconfig/ssl 文件夹中的设备 B。

  5. 在设备 B 上,使用 SSH 客户端(如 PuTTY)打开与设备之间的 SSH 连接。

  6. 使用管理员凭据登录到设备。

  7. 将设备 B 初始化为目标设备。在命令提示窗口中,键入:

    init ssl fipsSIMtarget <certFile> <keyVector> <targetSecret>
    
  8. 将此<targetSecret> 文件复制到设备 A。

  9. 在设备 A上,启用设备 A 作为源设备。在命令提示窗口中,键入:

    enable ssl fipsSIMSource <targetSecret> <sourceSecret>
    
  10. 将此<sourceSecret> 文件复制到设备 B。

  11. 在设备 B上,启用设备 B 作为目标设备。在命令提示窗口中,键入:

    enable ssl fipsSIMtarget <keyVector> <sourceSecret>
    
  12. 在设备 A上,创建 FIPS 密钥,如中所述创建 FIPS 密钥

  13. 将 FIPS 密钥导出到设备的硬盘,如中所述导出 FIPS 密钥

  14. 使用安全文件传输实用程序(如 SCP)将 FIPS 密钥复制到辅助设备的硬盘。

  15. 设备 B 上,将 FIPS 密钥从硬盘导入设备的 HSM,如中所述导入现有的 FIPS 密钥

使用 GUI 在高可用性设置中配置 FIPS 设备

  1. 在要配置为源设备的设备上,导航到流量管理 > SSL > FIPS。
  2. 在详细信息窗格中的 FIPS 信息选项卡上,单击启用 SIM 卡。
  3. 在“为 SIM 启用 HA 对话框的“证书文件名”文本框中,键入文件名,其中包含 FIPS 证书应存储在源设备上的位置的路径。
  4. 在“键矢量文件名”文本框中,键入文件名,其中包含 FIPS 键矢量应存储在源设备上的位置的路径。
  5. 在“目标私有文件名”文本框中,键入用于在目标设备上存储私有数据的位置。
  6. 在源密钥文件名文本框中,键入用于在源设备上存储密钥数据的位置。
  7. 单击确定。FIPS 设备现在配置为 HA 模式。
  8. 创建 FIPS 密钥,如中所述创建 FIPS 密钥。FIPS 密钥会自动从主密钥传输到辅助密钥。

下图总结了传输过程。

图 1. 转移 FIPS 密钥摘要

简单处理详细信息