Ergänzungspaket für gemessene Stiefel

Mit dem Citrix Hypervisor Measured Boot Supplemental Pack können Kunden wichtige Komponenten ihrer Citrix Hypervisor Hosts beim Booten messen. Es bietet auch APIs, mit denen Remote-Bescheinigungslösungen diese Messungen sicher erfassen können. Dieses Ergänzungspaket ist kompatibel mit Intel-Computersystemen, die Trusted Execution Technology (TXT) unterstützen.

Dieses Ergänzungspaket kann von derCitrix Hypervisor 8.0 Premium EditionSeite heruntergeladen werden.

Hinweis:

Measured Boot Supplemental Pack ist für Citrix Hypervisor Premium Edition-Kunden oder Kunden verfügbar, die über ihre Citrix Virtual Apps und Desktops Zugriff auf Citrix Hypervisor haben.

Hintergrund

Nach der Installation dieses Supplemental Packs, wenn ein Citrix Hypervisor or-Server als nächstes gestartet wird, nimmt Intels TXT Messungen von Systemkomponenten niedriger Stufe (wie Firmware, BIOS, Xen Hypervisor, dom0 Kernel und dom0 initrd) vor und speichert sie an einem sicheren Ort auf dem als vertrauenswürdigen Host bekannten Trusted Plattformmodul (TPM). Eine neue Schnittstelle für Kunden, wie z. B. eine Remote-Bescheinigungslösung, wird zur sicheren Erfassung dieser Messungen bereitgestellt.

Remote-Bescheinigung

Remote-Bescheinigungslösungen funktionieren, indem eine Verbindung zu einem Citrix Hypervisor or-Server hergestellt wird, der sich in einem sauberen Zustand befindet. Es kann remote und sicher das TPM des Citrix Hypervisor or-Servers abfragen, um eine Liste der niedrigen Systemmessungen zu erhalten. Sie speichert diese Messungen in einer „White-List“ oder „Bekanntes Gut“ -Messliste.

An dieser Stelle sammelt die Remote-Bescheinigungssoftware regelmäßig wichtige Systemmessungen und vergleicht sie mit ihrer Liste „Bekanntes Gut“.

Ein Host gilt in folgenden Fällen als „nicht vertrauenswürdig“:

  • Wenn die Remote-Bescheinigungssoftware die Messungen nicht erfassen kann
  • Wenn sich die Messungen ändern
  • Wenn die kryptografischen Schlüssel ungültig sind

In diesem Fall wird der Kunde benachrichtigt. Eine höhere Orchestrierungssoftware wie CloudStack, OpenStack oder Workload-Balancing-Software kann intelligente Sicherheitsvorgänge auf den betroffenen Hosts ausführen.

Vorbereiten des Citrix Hypervisor -Servers

Damit dieses Supplemental Pack ordnungsgemäß funktioniert, bearbeiten Sie vor dem Versuch, Daten zu sammeln, die folgenden Einstellungen im BIOS ihres Hosts:

  1. Richten Sie den Citrix Hypervisor or-Server so ein, dass er im Legacy-Modus gestartet wird.

    Hinweis:

    Der UEFI-Boot-Modus wird beim gemessenen Start nicht unterstützt.

  2. Aktivieren Sie Intel AES-NI.

  3. Schalten Sie TPM Security oder On mit Messungen vor dem Start ein.

  4. Reinigen Sie das TPM.

    Mit dieser Aktion werden alle vorherigen Einstellungen und Kennwörter gelöscht, die mit dem TPM verknüpft sind, damit das Citrix Hypervisor Measured Boot Supplemental Pack die Kontrolle über das TPM übernehmen kann.

    Hinweis:

    Nach diesem Schritt ist ein Neustart erforderlich.

  5. Aktivieren Sie TPM.

  6. Aktivieren Sie Intel TXT.

Hinweis:

  • Nach Schritt 5 und Schritt 6 ist ein Neustart erforderlich.
  • Die BIOS-Einstellungen variieren je nach Hardwarehersteller. Lesen Sie in der Hardwaredokumentation, wie Sie TPM und TXT für ihre spezifische Umgebung aktivieren.

Installieren Sie das Supplemental Pack

Verwenden Sie die Citrix Hypervisor CLI, um dieses Supplemental Pack zu installieren. Wie bei jedem Softwareupdate empfehlen wir Ihnen, Ihre Daten zu sichern, bevor Sie dieses Ergänzungspaket anwenden.

Supplemental Packs können innerhalb einer ZIP-Datei übertragen werden. Wenn das Supplemental Pack-ISO in einer ZIP-Datei enthalten ist, entpacken Sie diese ZIP-Datei (um das Disk-ISO-Image zu erzeugen), bevor Sie die folgenden Schritte ausführen.

Installation auf einem laufenden Citrix Hypervisor -System

  1. Laden Sie das Supplemental Pack direkt auf den zu aktualisierenden Citrix Hypervisor Host herunter.

    Wir empfehlen, es im/tmp/ Verzeichnis zu speichern.

    Alternativ können Sie die Datei auf einen mit dem Internet verbundenen Computer herunterladen und das ISO-Image auf eine CD brennen.

  2. Verwenden Sie XenCenter, um auf die Konsole des Citrix Hypervisor Hosts zuzugreifen, oder verwenden Sie Secure Shell (SSH), um sich direkt anzumelden.

  3. Die einfachste Methode besteht darin, direkt aus der ISO-Datei zu installieren. Geben Sie Folgendes ein:

    xe-install-supplemental-pack /tmp/Citrix Hypervisor-8.0-measured-boot.iso
    

    Wenn Sie das ISO auf eine CD brennen möchten, müssen Sie den Datenträger mounten. Geben Sie beispielsweise für eine CD-ROM Folgendes ein:

        mkdir -p /mnt/tmp
        mount /dev/<path to cd-rom> /mnt/tmp
        cd /mnt/tmp/
        ./install.sh
        cd /
        umount /mnt/tmp
    
  4. Damit die Änderungen wirksam werden, starten Sie Ihren Host neu.

Neuinstallation

Wenn Sie dieses Supplemental Pack auf einer früheren Version installieren, bestätigen Sie das Überschreiben der vorherigen Installation. Geben Sie einY , wenn Sie während derxe-install-supplemental-pack Installation aufgefordert werden.

Standardkennwort aktualisieren

In früheren Versionen des Zusatzpakets wurde das Standardkennwortxenroot mit einem nachfolgenden Zeilenumbruch auf gesetzt. Dieser nachfolgende Zeilenumbruch wurde für das Standardkennwort in dieser Version des Zusatzpakets entfernt, wobei das neue Standardkennwort lautetxenroot.

Ein benutzerdefiniertes Passwort kann in gesetzt werden/opt/xensource/tpm/config und muss ein sha1 Hash eines Nur-Text-Passworts sein, das mit generiert werden kannecho -n <password | sha1sum . Wenn in dieser Befehlszeile weggelassen-n wird, ist ein nachgestellter Zeilenumbruch im Kennwort enthalten.

Asset-Tags festlegen

Asset-Tags können mit der/opt/xensource/tpm/xentpm Binärdatei mit den--tpm_set_asset_tag Methoden--tpm_clear_asset_tag und festgelegt werden, oder auch mit demtpm Management-API-Plug-In mit dentpm_set_asset_tag (ein ‘tag’ Argument nehmen) undtpm_clear_asset_tag Funktionen:

    /opt/xensource/tpm/xentpm --tpm_set_asset_tag <tag_sha1>
    /opt/xensource/tpm/xentpm --tpm_clear_asset_tag
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_set_asset_tag args:tag=<tag_sha1>
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_clear_asset_tag

Hinweis:

Nach diesem Schritt ist ein Neustart erforderlich.

Weitere Informationen

Informationen zum Herunterladen des Supplemental Packs für Meßboote finden SieCitrix Hypervisor 8.0 Premium Editionauf der Seite.

Wenn Sie Schwierigkeiten bei der Installation dieses Supplemental Packs haben, wenden Sie sich anTechnischer Support von Citrix.

Die Dokumentation zu Citrix Hypervisor 8.0 finden SieCitrix Produktdokumentationauf der Website.