Citrix Hypervisor

Measured Boot Supplemental Pack

July 20, 2020

Beigesteuert von:

Mit dem Citrix Hypervisor Measured Boot Supplemental Pack können Kunden wichtige Komponenten ihrer Citrix Hypervisor Hosts beim Booten messen. Es bietet auch APIs, mit denen Remote-Bescheinigung Lösungen diese Messungen sicher erfassen können. Dieses Zusatzpaket ist mit Intel Computersystemen kompatibel, die Trusted Execution Technology (TXT) unterstützen.

Dieses Zusatzpaket steht auf der Citrix Hypervisor 8.2 Premium Edition Seite zum Download zur Verfügung.

Hinweis:

Meessing Boot Supplemental Pack ist für Citrix Hypervisor Premium Edition-Kunden oder Kunden verfügbar, die über ihre Citrix Virtual Apps and Desktops s-Berechtigung Zugriff auf Citrix Hypervisor haben.

Hintergrund

Nach der Installation dieses Supplemental Packs, wenn ein Citrix Hypervisor-Server das nächste Mal startet, nimmt TXT von Intel Messungen von Systemkomponenten auf niedriger Ebene (z. B. Firmware, BIOS, Xen Hypervisor, dom0-Kernel und dom0 initrd). Diese Messungen werden an einem sicheren Ort auf dem Host gespeichert, der als Trusted Platform Module (TPM) bezeichnet wird. Für Kunden wird eine neue Schnittstelle bereitgestellt, z. B. eine Fernbescheinigung, um diese Messungen sicher zu erfassen.

Fernbescheinigung

Remotebescheinigungslösungen funktionieren, indem eine Verbindung zu einem Citrix Hypervisor-Server hergestellt wird, der sich in einem sauberen Zustand befindet. Es kann remote und sicher das TPM des Citrix Hypervisor-Servers abfragen, um eine Liste der Systemmessungen auf niedrigem Niveau zu erhalten. Sie speichert diese Messungen in einer “White-List” oder “Bekanntes Gut” Messliste.

Zu diesem Zeitpunkt sammelt die Fernbescheinigung regelmäßig wichtige Systemmessungen und vergleicht sie mit der Liste “bekannter Güter”.

Ein Host wird in den folgenden Fällen als “nicht vertrauenswürdig” angesehen:

Wenn die Fernbescheinigung Software nicht in der Lage ist, die Messungen zu erfassen
Wenn sich die Messungen ändern
Wenn die kryptografischen Schlüssel nicht gültig sind

In diesem Fall wird der Kunde benachrichtigt. Eine übergeordnete Orchestrierungssoftware wie CloudStack, OpenStack oder Workload-Balancing-Software kann intelligente Sicherheitsvorgänge auf den betroffenen Hosts durchführen.

Vorbereiten des Citrix Hypervisor-Servers

Damit dieses Supplemental Pack ordnungsgemäß funktioniert, bearbeiten Sie vor dem Versuch, Daten zu sammeln, die folgenden Einstellungen im BIOS des Hosts:

Richten Sie den Citrix Hypervisor-Server so ein, dass er im Legacymodus gestartet wird.

Hinweis:

Der UEFI-Boot-Modus wird beim gemessenen Booten nicht unterstützt.
Aktivieren Sie Intel AES-NI.
Schalten Sie TPM-Sicherheit oder Ein mit Messungen vor dem Bootenein.
Löschen Sie das TPM.

Mit dieser Aktion werden alle vorherigen Einstellungen und Kennwörter gelöscht, die dem TPM zugeordnet sind, damit das Citrix Hypervisor Measured Boot Supplemental Pack die Kontrolle über das TPM übernehmen kann.

Hinweis:

Nach diesem Schritt ist ein Neustart erforderlich.
Aktivieren Sie TPM.
Aktivieren Sie Intel TXT.

Hinweis:

Nach Schritt 5 und Schritt 6 ist ein Neustart erforderlich.

Die BIOS-Einstellungen variieren je nach Hardware-Hersteller. In der Hardwaredokumentation erfahren Sie, wie Sie TPM und TXT für ihre spezifische Umgebung aktivieren.

Installieren Sie das Supplemental Pack

Verwenden Sie die Citrix Hypervisor Befehlszeilenschnittstelle, um dieses Supplemental Pack zu installieren. Wie bei jedem Software-Update empfehlen wir Ihnen, Ihre Daten zu sichern, bevor Sie dieses Ergänzungspaket anwenden.

Zusätzliche Packs können innerhalb einer Zip-Datei übertragen werden. Wenn das Supplemental Pack-ISO in einer ZIP-Datei enthalten ist, entpacken Sie diese ZIP-Datei (um das ISO-Image der Festplatte zu erstellen), bevor Sie die folgenden Schritte ausführen.

Installieren auf einem laufenden Citrix Hypervisor -System

Laden Sie das Supplemental Pack direkt auf den Citrix Hypervisor Host herunter, um es zu aktualisieren.

Wir empfehlen, es im /tmp/ Verzeichnis zu speichern.

Alternativ können Sie die Datei auf einen mit dem Internet verbundenen Computer herunterladen und das ISO-Image auf eine CD brennen.
Verwenden Sie XenCenter, um auf die Konsole des Citrix Hypervisor Hosts zuzugreifen, oder verwenden Sie Secure Shell (SSH), um sich direkt anzumelden.
Die einfachste Methode besteht darin, direkt aus der ISO-Datei zu installieren. Geben Sie Folgendes ein:
```
xe-install-supplemental-pack /tmp/Citrix Hypervisor-8.2-measured-boot.iso
```
Wenn Sie den ISO-Wert auf eine CD brennen möchten, müssen Sie den Datenträger auch mounten. Geben Sie für eine CD-ROM beispielsweise Folgendes ein:
```
    mkdir -p /mnt/tmp
    mount /dev/<path to cd-rom> /mnt/tmp
    cd /mnt/tmp/
    ./install.sh
    cd /
    umount /mnt/tmp
```
Starten Sie Ihren Host neu, damit die Änderungen wirksam werden.

Neuinstallation

Wenn Sie dieses Supplemental Pack über eine frühere Version installieren, bestätigen Sie das Überschreiben der vorherigen Installation. Geben Sie ein Y, wenn Sie während der xe-install-supplemental-pack Installation aufgefordert werden.

Standardkennwort aktualisieren

In früheren Versionen des Zusatzpakets wurde das Standardkennwort xenroot mit einem Zeilenumbruch auf festgelegt. Dieser abschließende Zeilenumbruch wurde für das Standardkennwort in dieser Version des Zusatzpakets entfernt, wobei das neue Standardkennwort lautet xenroot.

Ein benutzerdefiniertes Kennwort kann in gesetzt werden /opt/xensource/tpm/config und muss ein sha1 Hash eines Nur-Text-Kennworts sein, das mit generiert werden kann echo -n <password | sha1sum. Wenn -n in dieser Befehlszeile weggelassen wird, ist ein nachgestellter Zeilenumbruch im Kennwort enthalten.

Festlegen von Asset-Tags

Asset-Tags können mit der /opt/xensource/tpm/xentpm Binärdatei mit den --tpm_set_asset_tag Methoden --tpm_clear_asset_tag und oder mithilfe des tpm Verwaltungs-API-Plug-Ins mit dem tpm_set_asset_tag ( wobei ein ‘tag’ Argument genommen wird) und tpm_clear_asset_tag Funktionen:

    /opt/xensource/tpm/xentpm --tpm_set_asset_tag <tag_sha1>
    /opt/xensource/tpm/xentpm --tpm_clear_asset_tag
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_set_asset_tag args:tag=<tag_sha1>
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_clear_asset_tag

Hinweis:

Nach diesem Schritt ist ein Neustart erforderlich.

Mehr Informationen

Informationen zum Herunterladen des Maßgeführten Boot-Zusatzpakets finden Sie auf der Citrix Hypervisor 8.2 Premium Edition Seite.

Wenn Sie Schwierigkeiten bei der Installation dieses Supplemental Packs haben, wenden Sie sich an Technischer Support von Citrix.

Die Citrix Hypervisor 8.2-Dokumentation finden Sie Citrix-Produktdokumentation auf der Website.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Citrix Dokumentation maschinell übersetzt. Citrix hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Citrix Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Citrix gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Citrix kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

Measured Boot Supplemental Pack

July 20, 2020

Beigesteuert von:

July 20, 2020

Beigesteuert von:

In diesem Artikel

Hintergrund
Fernbescheinigung
Vorbereiten des Citrix Hypervisor-Servers
Installieren Sie das Supplemental Pack
Standardkennwort aktualisieren
Festlegen von Asset-Tags
Mehr Informationen