NetScaler 10.5(9)首次配置FIPS设备

nick814 NetScaler 2,089 次浏览 没有评论

 

HTTPS访问配置实用程序和安全远程过程调用需要证书 – 密钥对。 RPC节点是用于配置和会话信息的系统到系统通信的内部系统实体。每个设备上都存在一个RPC节点。此节点存储密码,根据联系设备提供的密码进行检查。要与其他NetScaler设备通信,每个设备都需要了解其他设备,包括如何在其他设备上进行身份验证。 RPC节点维护此信息,其中包括其他NetScaler设备的IP地址和用于在每个设备上进行身份验证的密码。

在NetScaler MPX设备和NetScaler虚拟设备上,证书/密钥对自动绑定到内部服务。在FIPS设备上,必须将证书/密钥对导入FIPS卡的硬件安全模块(HSM)中。为此,您必须配置FIPS卡,创建证书/密钥对,并将其绑定到内部服务。

 

使用命令行界面配置安全HTTPS

  1. 初始化设备的FIPS卡上的硬件安全模块(HSM)。 有关初始化HSM的信息,请参阅”配置HSM”。
  2. 如果设备是高可用性设置的一部分,请启用SIM。 有关在主设备和辅助设备上启用SIM卡的信息,请参阅”在高可用性设置中配置FIPS设备”。
  3. 将FIPS密钥导入设备的FIPS卡的HSM中。 在命令提示符下,键入:

    import ssl fipskey serverkey –key ns-server.key –inform PEM

  4. 添加证书/密钥对。 在命令提示符下,键入:

add certkey server –cert ns-server.cert –fipskey serverkey

  1. 将上一步中创建的证书密钥绑定到以下内部服务。 在命令提示符下,键入:

    bind ssl service nshttps-127.0.0.1-443 –certkeyname server

    bind ssl service nshttps-::11-443 –certkeyname server

     

使用配置实用程序配置安全HTTPS

  1. 初始化设备的FIPS卡上的硬件安全模块(HSM)。有关初始化HSM的信息,请参阅”配置HSM”。
  2. 如果设备是高可用性设置的一部分,请启用安全信息系统(SIM)。有关在主设备和辅助设备上启用SIM卡的信息,请参阅”在高可用性设置中配置FIPS设备”。
  3. 将FIPS密钥导入设备的FIPS卡的HSM中。有关导入FIPS密钥的详细信息,请参阅”导入现有FIPS密钥”。
  4. 导航到Traffic Management > SSL>Certificates
  5. 在详细信息窗格中,单击 Install
  6. 在”Install Certificate“对话框中,键入证书详细信息。
  7. 单击Create,然后单击Close
  8. 导航到Traffic Management > Load Balancing> Services
  9. 在详细信息窗格中的”Action“选项卡上,单击”Internal Services“。
  10. 从列表中选择nshttps-127.0.0.1-443,然后单击Open
  11. 在”SSL Settings“选项卡上的”Available“窗格中,选择在步骤7中创建的证书,单击”Add“,然后单击”OK“。
  12. 从列表中选择nshttps-::11-443,然后单击Open
  13. 在”SSL Settings“选项卡上的”Available“窗格中,选择在步骤7中创建的证书,单击”Add“,然后单击”OK“。
  14. 单击”OK“。

     

使用命令行界面配置安全RPC

  1. 初始化设备的FIPS卡上的硬件安全模块(HSM)。 有关初始化HSM的信息,请参阅”配置HSM”。
  2. 启用安全信息系统(SIM)。 有关在主设备和辅助设备上启用SIM卡的信息,请参阅”在高可用性设置中配置FIPS设备”。
  3. 将FIPS密钥导入设备的FIPS卡的HSM中。 在命令提示符下,键入:

    import ssl fipskey serverkey –key ns-server.key –inform PEM

  4. 添加证书/密钥对。 在命令提示符下,键入:


add certkey server –cert ns-server.cert –fipskey serverkey

  1. 将证书/密钥对绑定到以下内部服务。 在命令提示符下,键入:

    bind ssl service nsrpcs-127.0.0.1-3008 –certkeyname server

    bind ssl service nskrpcs-127.0.0.1-3009 –certkeyname server

    bind ssl service nsrpcs-::1l-3008 –certkeyname server

  2. 启用安全RPC模式。 在命令提示符下,键入:

    set ns rpcnode <IP address> –secure YES

     

使用配置实用程序配置安全RPC

  1. 初始化设备的FIPS卡上的硬件安全模块(HSM)。有关初始化HSM的信息,请参阅”配置HSM”。
  2. 启用安全信息系统(SIM)。有关在主设备和辅助设备上启用SIM卡的信息,请参阅”在高可用性设置中配置FIPS设备”。
  3. 将FIPS密钥导入设备的FIPS卡的HSM中。有关导入FIPS密钥的详细信息,请参阅”导入现有FIPS密钥”。
  4. 导航到Traffic Management > SSL > Certificates
  5. 在详细信息窗格中,单击Install
  6. 在” Install Certificate“对话框中,键入证书详细信息。
  7. 单击Create,然后单击Close
  8. 导航到Traffic Management > Load Balancing > Services
  9. 在详细信息窗格中的”Action“选项卡上,单击”Internal Services“。
  10. 从列表中选择nsrpcs-127.0.0.1-3008,然后单击Open
  11. 在”SSL Settings“选项卡上的”Available“窗格中,选择在步骤7中创建的证书,单击”Add“,然后单击”OK“。
  12. 从列表中选择nskrpcs-127.0.0.1-3009,然后单击Open
  13. 在”SSL Settings“选项卡上的”Available“窗格中,选择在步骤7中创建的证书,单击”Add“,然后单击”OK“。
  14. 从列表中选择nsrpcs-::11-3008,然后单击Open
  15. 在”SSL Settings“选项卡上的”Available“窗格中,选择在步骤7中创建的证书,单击”Add“,然后单击”OK“。
  16. 单击”OK“。
  17. 导航到System > Network > RPC
  18. 在详细信息窗格中,选择IP地址,然后单击Open
  19. 在”Configure RPC Node“对话框中,选择”Secure“。
  20. 单击”OK“。

  21.  

发表评论

Go