将 FIPS 卡上的固件更新至版本 2.2
重要提示!MPX 9700/10500/12500/15500 FIPS 平台已经到达使用寿命的终点。
FIPS 固件 2.2 版支持 TLS 协议版本 1.1 和 1.2。在命令行中,您可以将 Citrix ADC MPX 9700/10500/12500/15500 FIPS 设备的 FIPS 卡的固件版本从版本 1.1 更新到版本 2.2。
要在高可用性 (HA) 对中成功传播 SIM 密钥,每个设备上的 Cavium 固件版本必须相同。首先在辅助设备上执行固件更新。如果首先在主设备上执行,长时间运行的更新过程将导致故障转移。
限制
- 仅在 SSL 虚拟服务器和前端 SSL 服务上支持安全重新协商。
- 使用在固件版本 1.1 上创建并更新到固件版本 2.2 的密钥创建证书签名请求失败。
- 您无法在固件版本 2.2 上创建 1024 位 RSA 密钥。但是,如果您在固件 1.1 版本上导入或创建了 1024 位 FIPS 密钥,然后更新到固件版本 2.2,则可以在固件版本 2.2 上使用该 FIPS 密钥。
- 仅支持 2048 位 RSA 密钥。
-
不支持 4096 位客户端证书(如果在后端服务器上启用了客户端身份验证)。
- 不支持使用 SSLv3 协议进行安全重新协商。
- 升级固件后,默认情况下,在现有虚拟服务器、内部、前端和后端服务上禁用 TLSv1.1 和 TLSv1.2。要使用 TLS 1.1/1.2,您必须在升级后在 SSL 实体上明确启用这些协议。
- 如果将固件降级到版本 1.1,则固件 2.2 中创建的 FIPS 密钥不可用。
必备条件
从 www.citrix.com 的下载页面下载以下文件。这些文件必须存储在设备上的 /var/nsinstall 目录中。
- FW 2.2 文件:FW-2.2-130013
- FW 2.2 签名文件:FW-2.2-130013.sign
FW-2.2-130013 是推荐的固件版本。它包括改进 DRBG 的修复程序。
在独立设备上将 FIPS 固件更新为 2.2 版
-
使用管理员凭据登录到该设备。
-
在提示符下,键入以下命令以确认 FIPS 卡已初始化。
show fips FIPS HSM Info: HSM Label : Citrix ADC FIPS Initialization : FIPS-140-2 Level-2 HSM Serial Number : 3.0G1235-ICM000264 HSM State : 2 HSM Model : NITROX XL CN1620-NFBE Hardware Version : 2.0-G Firmware Version : 1.1 Firmware Release Date : Jun04,2010 Max FIPS Key Memory : 3996 Free FIPS Key Memory : 3992 Total SRAM Memory : 467348 Free SRAM Memory : 62512 Total Crypto Cores : 3 Enabled Crypto Cores : 1 Done <!--NeedCopy--> -
保存配置。在提示符下,键入:
save config <!--NeedCopy--> -
执行更新。在提示符下,键入:
update ssl fips -fipsFW <path to the extracted contents>/CN16XX-NFBE-FW-2.2-1300013 <!--NeedCopy-->出现以下提示时按 Y:
This command will update compatible version of the FIPS firmware. You must save the current configuration (saveconfig) before executing this command. You must reboot the system after execution of this command, for the firmware update to take effect. Do you want to continue?(Y/N)Y Done <!--NeedCopy-->
注意: 您只需指定固件文件,因为固件签名文件位于同一位置。
此更新最多需要 10 秒。update 命令被阻止,这意味着在命令完成之前不会执行任何其他操作。命令执行完成后,命令提示符再次出现。
-
重新启动设备。在提示符下,键入:
reboot Are you sure you want to restart NetScaler (Y/N)? [N]:Y <!--NeedCopy--> -
验证更新是否成功。在提示符下,键入:
show fips <!--NeedCopy-->输出中显示的固件版本必须为 2.2。例如:
sh fips FIPS HSM Info: HSM Label : Citrix ADC FIPS Initialization : FIPS-140-2 Level-2 HSM Serial Number : 2.1G1207-IC002429 HSM State : 2 HSM Model : NITROX XL CN1620-NFBE Hardware Version : 2.0-G Firmware Version : 2.2 Firmware Build : NFBE-FW-2.2-130013 Max FIPS Key Memory : 3996 Free FIPS Key Memory : 3982 Total SRAM Memory : 467348 Free SRAM Memory : 50472 Total Crypto Cores : 3 Enabled Crypto Cores : 1 Done <!--NeedCopy-->
在高可用性对中的设备上将 FIPS 固件更新为 2.2 版
-
登录到辅助节点并执行更新,如“在独立设备上将 FIPS 固件更新到 2.2 版本”中所述。
强制辅助节点成为主节点。在提示符下,键入:
force failover <!--NeedCopy-->在确认提示符处按 Y 。
-
登录到新的辅助节点(旧的主节点),并按照“在独立设备上将 FIPS 固件更新到 2.2 版本”中所述执行更新。
-
强制新的辅助节点再次成为主节点。在提示符下,键入:
force failover <!--NeedCopy-->在确认提示符处按 Y 。
在独立设备上将 FIPS 固件更新为 1.1 版
-
从 www.citrix.com 上的下载页面将 nfb_firmware-r1235_100604 和 nfb_firmware-r1235_100604.sign 文件下载到设备上的同一目录。
-
使用管理员凭据登录到该设备。
-
在提示符下,键入:
update ssl fips -fipsFW /<full path to the file>/nfb_firmware-r1235_100604 <!--NeedCopy-->