Measured Boot Supplemental Pack
Mit dem Citrix Hypervisor Measured Boot Supplemental Pack können Kunden wichtige Komponenten ihrer Citrix Hypervisor Hosts beim Booten messen. Es bietet auch APIs, mit denen Remote-Bescheinigungslösungen diese Messungen sicher erfassen können. Dieses Zusatzpaket ist mit Intel-Computersystemen kompatibel, die Trusted Execution Technology (TXT) unterstützen.
Dieses Zusatzpaket kann auf der Seite Citrix Hypervisor 8.2 Premium Edition heruntergeladen werden.
Hinweis:
Das Measured Boot Supplemental Pack ist für Citrix Hypervisor Premium Edition-Kunden oder Kunden verfügbar, die über ihre Citrix Virtual Apps and Desktops-Berechtigung oder Citrix DaaS-Berechtigung Zugriff auf Citrix Hypervisor haben.
Hintergrund
Nach der Installation dieses Supplemental Packs nimmt Intels TXT beim nächsten Start eines Citrix Hypervisor-Servers Messungen der Systemkomponenten auf niedriger Ebene vor (wie Firmware, BIOS, Xen-Hypervisor, dom0-Kernel und dom0 initrd
). Diese Messungen werden an einem sicheren Ort auf dem Host gespeichert, der als Trusted Platform Module (TPM) bekannt ist. Für Kunden wird eine neue Schnittstelle bereitgestellt, z. B. eine Remote-Bescheinigungslösung, um diese Messungen sicher zu erfassen.
Remote-Bescheinigung
Remote-Bescheinigungslösungen stellen eine Verbindung zu einem Citrix Hypervisor-Server her, der sich in einem “zweifelsfrei funktionierenden” sauberen Zustand befindet. Es kann das TPM des Citrix Hypervisor-Servers remote und sicher nach einer Liste wichtiger Systemmessungen auf niedriger Ebene abfragen. Sie speichert diese Messungen in einer “Positivliste” oder “Als gut bekannt”-Liste.
Zu diesem Zeitpunkt sammelt die Fernbescheinigung regelmäßig wichtige Systemmessungen und vergleicht sie mit der Liste “Als gut bekannt”.
Ein Host wird in den folgenden Fällen als “nicht vertrauenswürdig” angesehen:
- Wenn die Remote-Bescheinigungssoftware die Messungen nicht erfassen kann
- Wenn sich die Messungen ändern
- Wenn die kryptografischen Schlüssel nicht gültig sind
In diesem Fall wird der Kunde benachrichtigt. Übergeordnete Orchestrierungssoftware wie CloudStack, OpenStack oder Workload Balancing-Software kann intelligente Sicherheitsvorgänge auf den betroffenen Hosts ausführen.
Bereiten Sie den Citrix Hypervisor-Server vor
Damit dieses Supplemental Pack ordnungsgemäß funktioniert, bearbeiten Sie vor dem Versuch, Daten zu sammeln, die folgenden Einstellungen im BIOS des Hosts:
-
Richten Sie den Citrix Hypervisor-Server für das Booten im Legacy-Modus ein.
Hinweis:
Der UEFI-Startmodus wird bei gemessenem Start nicht unterstützt.
-
Intel AES-NI aktivieren.
-
Schalten Sie TPM Security oder On mit Messungen vor dem Start ein.
-
Löschen Sie das TPM.
Diese Aktion löscht alle vorherigen Einstellungen und Kennwörter, die mit dem TPM verknüpft sind, damit das Citrix Hypervisor Measured Boot Supplemental Pack die Kontrolle über das TPM übernehmen kann.
Hinweis:
Nach diesem Schritt ist ein Neustart erforderlich.
-
TPM aktivieren.
-
Intel TXT aktivieren.
Hinweis:
- Nach Schritt 5 und Schritt 6 ist ein Neustart erforderlich.
- Die BIOS-Einstellungen variieren je nach Hardwarehersteller. Konsultieren Sie Ihre Hardwaredokumentation, um zu erfahren, wie Sie TPM und TXT für ihre spezifische Umgebung aktivieren können.
Installieren Sie das Zusatzpaket
Verwenden Sie die Citrix Hypervisor CLI, um dieses Zusatzpaket zu installieren. Wie bei jedem Software-Update empfehlen wir Ihnen, Ihre Daten zu sichern, bevor Sie dieses zusätzliche Paket anwenden.
Zusätzliche Packs können innerhalb einer ZIP-Datei übertragen werden. Wenn das zusätzliche Pack-ISO in einer ZIP-Datei enthalten ist, entpacken Sie diese ZIP-Datei (um das Disk-ISO-Image zu erstellen), bevor Sie die folgenden Schritte ausführen.
Installieren Sie auf einem laufenden Citrix Hypervisor-System
-
Laden Sie das Supplemental Pack direkt auf den Citrix Hypervisor Host herunter, um es zu aktualisieren.
Wir empfehlen, es im Verzeichnis
/tmp/
zu speichern.Alternativ können Sie die Datei auf einen mit dem Internet verbundenen Computer herunterladen und das ISO-Image auf eine CD brennen.
-
Verwenden Sie XenCenter, um auf die Konsole des Citrix Hypervisor-Hosts zuzugreifen, oder verwenden Sie Secure Shell (SSH), um sich direkt anzumelden.
-
Die einfachste Methode ist die direkte Installation aus der ISO-Datei. Geben Sie Folgendes ein:
xe-install-supplemental-pack /tmp/Citrix Hypervisor-8.2-measured-boot.iso <!--NeedCopy-->
Wenn Sie das ISO-Image auf eine CD brennen möchten, müssen Sie den Datenträger auch mounten. Geben Sie beispielsweise für eine CD-ROM Folgendes ein:
mkdir -p /mnt/tmp mount /dev/<path to cd-rom> /mnt/tmp cd /mnt/tmp/ ./install.sh cd / umount /mnt/tmp <!--NeedCopy-->
-
Starten Sie Ihren Host neu, damit die Änderungen wirksam werden.
Neuinstallation
Wenn Sie dieses Zusatzpaket zusätzlich zu einer früheren Version installieren, bestätigen Sie, dass Sie die vorherige Installation überschreiben. Geben Sie Y
bei Aufforderung während der Installation von xe-install-supplemental-pack
ein.
Standardkennwort aktualisieren
In früheren Versionen des ergänzenden Pakets wurde das Standardkennwort auf xenroot
mit einem nachgestellten Zeilenumbruch festgelegt. Dieser nachgestellte Zeilenumbruch wurde für das Standardkennwort in dieser Version des Zusatzpakets entfernt, wobei das neue Standardkennwort lautet xenroot
.
Ein benutzerdefiniertes Kennwort kann in gesetzt werden /opt/xensource/tpm/config
und muss ein sha1 Hash eines Nur-Text-Kennworts sein, das mit generiert werden kann echo -n <password | sha1sum
. Wenn -n
in dieser Befehlszeile weggelassen wird, ist ein nachgestellter Zeilenumbruch im Kennwort enthalten.
Asset-Tags festlegen
Asset-Tags können mit der Binärdatei /opt/xensource/tpm/xentpm
mit den Methoden --tpm_set_asset_tag
und --tpm_clear_asset_tag
bzw. über das Verwaltungs-API-Plug-In tpm
mit tpm_set_asset_tag
(wobei ein ‘Tag’ Argument verwendet wird) und Funktionen tpm_clear_asset_tag
festgelegt werden:
/opt/xensource/tpm/xentpm --tpm_set_asset_tag <tag_sha1>
/opt/xensource/tpm/xentpm --tpm_clear_asset_tag
xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_set_asset_tag args:tag=<tag_sha1>
xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_clear_asset_tag
<!--NeedCopy-->
Hinweis:
Nach diesem Schritt ist ein Neustart erforderlich.
Weitere Informationen
Informationen zum Herunterladen des Measured Boot Supplemental Pack finden Sie auf der Seite Citrix Hypervisor 8.2 Premium Edition .
Wenn Sie Probleme bei der Installation dieses Supplemental Packs haben, wenden Sie sich an den technischen Support von Citrix.
Die Citrix Hypervisor 8.2-Dokumentation finden Sie auf der Website der Citrix Produktdokumentation .