Citrix ADC

在高可用性设置中的设备上配置 FIPS 设备

重要提示!MPX 9700/10500/12500/15500 FIPS 平台已经到达使用寿命的终点。

您可以将高可用性 (HA) 对中的两个设备配置为 FIPS 设备。

必备条件

  • 必须在两台设备上配置硬件安全模块 (HSM)。有关详细信息,请参阅 配置 HSM
  • 使用 GUI 时,请确保设备已处于高可用性设置中。有关配置 HA 设置的更多信息,请参阅 高可用性

注意: Citrix 建议您使用配置实用程序 (GUI) 执行此过程。如果您使用命令行 (CLI),请确保仔细遵循过程中列出的步骤。更改步骤顺序或指定不正确的输入文件可能会导致不一致,需要重新启动设备。此外,如果使用 CLI,则 create ssl fipskey 命令不会传播到辅助节点。当您在两个不同的 FIPS 设备上使用相同的模数大小和指数输入值运行命令时,生成的密钥不一样。在其中一个节点上创建 FIPS 密钥,然后将其传输到另一个节点。但是,如果您使用配置实用程序在 HA 设置中配置 FIPS 设备,您创建的 FIPS 密钥将自动传输到辅助节点。管理和传输 FIPS 密钥的过程称为安全信息管理 (SIM)。

重要提示: HA 设置必须在六分钟内完成。如果该过程在任何步骤失败,请执行以下操作:

  1. 重新启动设备或等待 10 分钟。
  2. 删除该过程创建的所有文件。
  3. 重复 HA 设置过程。

不要重复使用现有的文件名。

在以下过程中,设备 A 是主节点,设备 B 是辅助节点。

使用 CLI 在高可用性设置中在设备上配置 FIPS

下图总结了 CLI 上的传输过程。

图 1. 转移 FIPS 密钥摘要

SIM 过程详情

  1. 在设备 A 上,使用 SSH 客户端(如 PuTTY)打开与设备的 SSH 连接。

  2. 使用管理员凭据登录到设备。

  3. 将设备 A 初始化为源设备。在命令提示符下,键入:

    init ssl fipsSIMsource <certFile>
    <!--NeedCopy-->
    

    示例:

    init fipsSIMsource /nsconfig/ssl/nodeA.cert

  4. 将此<certFile> 文件复制到 /nconfig/ssl 文件夹中的设备 B。

    示例:

    scp /nsconfig/ssl/nodeA.cert nsroot@198.51.100.10:/nsconfig/ssl

  5. 在设备 B 上,使用 SSH 客户端(如 PuTTY)打开与设备之间的 SSH 连接。

  6. 使用管理员凭据登录到设备。

  7. 将设备 B 初始化为目标设备。在命令提示符下,键入:

    init ssl fipsSIMtarget <certFile> <keyVector> <targetSecret>
    <!--NeedCopy-->
    

    示例:

    init fipsSIMtarget /nsconfig/ssl/nodeA.cert /nsconfig/ssl/nodeB.key /nsconfig/ssl/nodeB.secret

  8. 将此<targetSecret> 文件复制到设备 A。

    示例:

    scp /nsconfig/ssl/fipslbdal0801b.secret nsroot@198.51.100.20:/nsconfig/ssl

  9. 在设备 A上,启用设备 A 作为源设备。在命令提示符下,键入:

    enable ssl fipsSIMSource <targetSecret> <sourceSecret>
    <!--NeedCopy-->
    

    示例: enable fipsSIMsource /nsconfig/ssl/nodeB.secret /nsconfig/ssl/nodeA.secret

  10. 将此<sourceSecret> 文件复制到设备 B。

    示例: scp /nsconfig/ssl/fipslbdal0801b.secret nsroot@198.51.100.10:/nsconfig/ssl

  11. 在设备 B上,启用设备 B 作为目标设备。在命令提示符下,键入:

    enable ssl fipsSIMtarget <keyVector> <sourceSecret>
    <!--NeedCopy-->
    

    示例: enable fipsSIMtarget /nsconfig/ssl/nodeB.key /nsconfig/ssl/nodeA.secret

  12. 设备 A 上,创建 FIPS 密钥,如 创建 FIPS 密钥中所述。

  13. 如导出 FIPS 密钥中所述,将 FIPS 密钥导出到设备的硬盘。

  14. 使用安全文件传输实用程序(如 SCP)将 FIPS 密钥复制到辅助设备的硬盘。

  15. 装置 B 上,将 FIPS 密钥从硬盘导入到设备的 HSM 中,如 导入现有 FIPS 密钥中所述。

在高可用性设置中使用 GUI 在设备上配置 FIPS

  1. 在要配置为源(主)设备的设备上,导航到“流量管理”>“SSL”>“FIPS”。
  2. 在详细信息窗格的 FIPS 信息选项卡上,单击 启用 SIM卡。
  3. 在“为 HA 对启用 SIM”对 话框的“证书文件名”文本框中,键入文件名。文件名必须包含源设备上必须存储 FIPS 证书的位置的路径。
  4. 键矢量文件名文本框中,键入文件名。文件名必须包含源设备上必须存储 FIPS 密钥矢量的位置的路径。
  5. 在“目 标密钥文件名”文本框中,键入用于在目标设备上存储密钥数据的位置。
  6. 源密钥文件名文本框中,键入用于在源设备上存储密钥数据的位置。
  7. 辅助系统登录凭据下,输入用户名密码的值。
  8. 单击 OK(确定)。FIPS 设备现在配置为 HA 模式。

注意: 在 HA 中配置设备后,请创建 FIPS 密钥,如 创建 FIPS 密钥中所述。FIPS 密钥会自动从主设备传输到辅助设备。

在高可用性设置中的设备上配置 FIPS 设备