Citrix ADC

以加密格式存储 OTP 密钥数据

August 24, 2021

贡献者:

自 Citrix ADC 版本 13.0 Build 41.20 起，OTP 密钥数据可以以加密格式而非纯文本格式存储。

以前，Citrix ADC 设备将 OTP 密钥作为纯文本存储在 AD 中。以纯文本格式存储 OTP 密钥会构成安全威胁，因为恶意攻击者或管理员可能会通过查看其他用户的共享密钥来利用数据。

加密参数启用 AD 中的 OTP 密钥的加密。默认情况下，在 Citrix ADC 版本 13.0 Build 41.20 中注册新设备并启用加密参数时，OTP 密钥将以加密格式存储。但是，如果禁用了加密参数，OTP 密钥将以纯文本格式存储。

对于 13.0 Build 41.20 之前注册的设备，必须执行以下操作作为最佳实践：

将 13.0 Citrix ADC 设备升级到 13.0 Build 41.20。
在设备上启用加密参数。
使用 OTP 密钥迁移工具将 OTP 密钥数据从纯文本格式迁移到加密格式。

有关 OTP 密钥迁移工具的详细信息，请参阅“OTP 加密工具”。

重要

Citrix 建议您作为管理员确保满足以下条件：

如果您没有使用 KBA 作为自助服务密码重置功能的一部分，则必须将新证书配置为加密 OTP 密钥。

To bind the certificate to VPN global, you can use the following command:

bind vpn global -userDataEncryptionKey <certificate name>

如果您已使用证书加密 KBA，则可以使用同一证书加密 OTP 密钥。

使用 CLI 启用 OTP 加密数据

在命令提示符下，键入：

set aaa otpparameter [-encryption ( ON | OFF )]

示例

set aaa otpparameter -encryption ON

使用 GUI 配置 OTP 加密

导航到 Security（安全）> AAA – Application Traffic（AAA - 应用程序流量），然后单击 Authentication Settings（身份验证设置）部分下的 Change authentication AAA OTP Parameter（更改身份验证 AAA OTP 参数）。
在 Configure AAA OTP Parameter（配置 AAA OTP 参数）页面上，选择 OTP Secret encryption（OTP 密钥加密）。
单击 OK（确定）。

配置用于接收 OTP 通知的最终用户设备的数量

管理员现在可以配置最终用户可以注册以接收 OTP 通知或身份验证的设备数量。

使用 CLI 配置 OTP 中的设备数量

在命令提示符下，键入：

set aaa otpparameter [-maxOTPDevices <positive_integer>]

示例

set aaa otpparameter -maxOTPDevices 4

使用 GUI 配置设备数量

导航到 Security（安全）> AAA – Application Traffic（AAA - 应用程序流量），然后单击 Authentication Settings（身份验证设置）部分下的 Change authentication AAA OTP Parameter（更改身份验证 AAA OTP 参数）。
在 Configure AAA OTP Parameter（配置 AAA OTP 参数）页面上，输入 Max OTP device Configured（已配置的最大 OTP 设备数量）。
单击 OK（确定）。

本内容的正式版本为英文版。部分 Citrix 文档内容采用了机器翻译，仅供您参考。Citrix 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Citrix 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Citrix 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Citrix 不承担任何责任。

以加密格式存储 OTP 密钥数据

August 24, 2021

贡献者:

August 24, 2021

贡献者: