Citrix Hypervisor

Measured Boot Supplemental Pack

Mit dem Citrix Hypervisor Measured Boot Supplemental Pack können Kunden wichtige Komponenten ihrer Citrix Hypervisor Hosts beim Booten messen. Es bietet auch APIs, mit denen Remote-Bescheinigungslösungen diese Messungen sicher erfassen können. Dieses Zusatzpaket ist mit Intel-Computersystemen kompatibel, die Trusted Execution Technology (TXT) unterstützen.

Dieses Zusatzpaket kann auf der Seite Citrix Hypervisor 8.2 Premium Edition heruntergeladen werden.

Hinweis:

Das Measured Boot Supplemental Pack ist für Citrix Hypervisor Premium Edition-Kunden oder Kunden verfügbar, die über ihre Citrix Virtual Apps and Desktops-Berechtigung oder Citrix DaaS-Berechtigung Zugriff auf Citrix Hypervisor haben.

Hintergrund

Nach der Installation dieses Supplemental Packs nimmt Intels TXT beim nächsten Start eines Citrix Hypervisor-Servers Messungen der Systemkomponenten auf niedriger Ebene vor (wie Firmware, BIOS, Xen-Hypervisor, dom0-Kernel und dom0 initrd). Diese Messungen werden an einem sicheren Ort auf dem Host gespeichert, der als Trusted Platform Module (TPM) bekannt ist. Für Kunden wird eine neue Schnittstelle bereitgestellt, z. B. eine Remote-Bescheinigungslösung, um diese Messungen sicher zu erfassen.

Remote-Bescheinigung

Remote-Bescheinigungslösungen stellen eine Verbindung zu einem Citrix Hypervisor-Server her, der sich in einem “zweifelsfrei funktionierenden” sauberen Zustand befindet. Es kann das TPM des Citrix Hypervisor-Servers remote und sicher nach einer Liste wichtiger Systemmessungen auf niedriger Ebene abfragen. Sie speichert diese Messungen in einer “Positivliste” oder “Als gut bekannt”-Liste.

Zu diesem Zeitpunkt sammelt die Fernbescheinigung regelmäßig wichtige Systemmessungen und vergleicht sie mit der Liste “Als gut bekannt”.

Ein Host wird in den folgenden Fällen als “nicht vertrauenswürdig” angesehen:

  • Wenn die Remote-Bescheinigungssoftware die Messungen nicht erfassen kann
  • Wenn sich die Messungen ändern
  • Wenn die kryptografischen Schlüssel nicht gültig sind

In diesem Fall wird der Kunde benachrichtigt. Übergeordnete Orchestrierungssoftware wie CloudStack, OpenStack oder Workload Balancing-Software kann intelligente Sicherheitsvorgänge auf den betroffenen Hosts ausführen.

Bereiten Sie den Citrix Hypervisor-Server vor

Damit dieses Supplemental Pack ordnungsgemäß funktioniert, bearbeiten Sie vor dem Versuch, Daten zu sammeln, die folgenden Einstellungen im BIOS des Hosts:

  1. Richten Sie den Citrix Hypervisor-Server für das Booten im Legacy-Modus ein.

    Hinweis:

    Der UEFI-Startmodus wird bei gemessenem Start nicht unterstützt.

  2. Intel AES-NI aktivieren.

  3. Schalten Sie TPM Security oder On mit Messungen vor dem Start ein.

  4. Löschen Sie das TPM.

    Diese Aktion löscht alle vorherigen Einstellungen und Kennwörter, die mit dem TPM verknüpft sind, damit das Citrix Hypervisor Measured Boot Supplemental Pack die Kontrolle über das TPM übernehmen kann.

    Hinweis:

    Nach diesem Schritt ist ein Neustart erforderlich.

  5. TPM aktivieren.

  6. Intel TXT aktivieren.

Hinweis:

  • Nach Schritt 5 und Schritt 6 ist ein Neustart erforderlich.
  • Die BIOS-Einstellungen variieren je nach Hardwarehersteller. Konsultieren Sie Ihre Hardwaredokumentation, um zu erfahren, wie Sie TPM und TXT für ihre spezifische Umgebung aktivieren können.

Installieren Sie das Zusatzpaket

Verwenden Sie die Citrix Hypervisor CLI, um dieses Zusatzpaket zu installieren. Wie bei jedem Software-Update empfehlen wir Ihnen, Ihre Daten zu sichern, bevor Sie dieses zusätzliche Paket anwenden.

Zusätzliche Packs können innerhalb einer ZIP-Datei übertragen werden. Wenn das zusätzliche Pack-ISO in einer ZIP-Datei enthalten ist, entpacken Sie diese ZIP-Datei (um das Disk-ISO-Image zu erstellen), bevor Sie die folgenden Schritte ausführen.

Installieren Sie auf einem laufenden Citrix Hypervisor-System

  1. Laden Sie das Supplemental Pack direkt auf den Citrix Hypervisor Host herunter, um es zu aktualisieren.

    Wir empfehlen, es im Verzeichnis /tmp/ zu speichern.

    Alternativ können Sie die Datei auf einen mit dem Internet verbundenen Computer herunterladen und das ISO-Image auf eine CD brennen.

  2. Verwenden Sie XenCenter, um auf die Konsole des Citrix Hypervisor-Hosts zuzugreifen, oder verwenden Sie Secure Shell (SSH), um sich direkt anzumelden.

  3. Die einfachste Methode ist die direkte Installation aus der ISO-Datei. Geben Sie Folgendes ein:

    xe-install-supplemental-pack /tmp/Citrix Hypervisor-8.2-measured-boot.iso
    <!--NeedCopy-->
    

    Wenn Sie das ISO-Image auf eine CD brennen möchten, müssen Sie den Datenträger auch mounten. Geben Sie beispielsweise für eine CD-ROM Folgendes ein:

        mkdir -p /mnt/tmp
        mount /dev/<path to cd-rom> /mnt/tmp
        cd /mnt/tmp/
        ./install.sh
        cd /
        umount /mnt/tmp
    <!--NeedCopy-->
    
  4. Starten Sie Ihren Host neu, damit die Änderungen wirksam werden.

Neuinstallation

Wenn Sie dieses Zusatzpaket zusätzlich zu einer früheren Version installieren, bestätigen Sie, dass Sie die vorherige Installation überschreiben. Geben Sie Y bei Aufforderung während der Installation von xe-install-supplemental-pack ein.

Standardkennwort aktualisieren

In früheren Versionen des ergänzenden Pakets wurde das Standardkennwort auf xenroot mit einem nachgestellten Zeilenumbruch festgelegt. Dieser nachgestellte Zeilenumbruch wurde für das Standardkennwort in dieser Version des Zusatzpakets entfernt, wobei das neue Standardkennwort lautet xenroot.

Ein benutzerdefiniertes Kennwort kann in gesetzt werden /opt/xensource/tpm/config und muss ein sha1 Hash eines Nur-Text-Kennworts sein, das mit generiert werden kann echo -n <password | sha1sum. Wenn -n in dieser Befehlszeile weggelassen wird, ist ein nachgestellter Zeilenumbruch im Kennwort enthalten.

Asset-Tags festlegen

Asset-Tags können mit der Binärdatei /opt/xensource/tpm/xentpm mit den Methoden --tpm_set_asset_tag und --tpm_clear_asset_tag bzw. über das Verwaltungs-API-Plug-In tpm mit tpm_set_asset_tag (wobei ein ‘Tag’ Argument verwendet wird) und Funktionen tpm_clear_asset_tag festgelegt werden:

    /opt/xensource/tpm/xentpm --tpm_set_asset_tag <tag_sha1>
    /opt/xensource/tpm/xentpm --tpm_clear_asset_tag
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_set_asset_tag args:tag=<tag_sha1>
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_clear_asset_tag
<!--NeedCopy-->

Hinweis:

Nach diesem Schritt ist ein Neustart erforderlich.

Weitere Informationen

Informationen zum Herunterladen des Measured Boot Supplemental Pack finden Sie auf der Seite Citrix Hypervisor 8.2 Premium Edition .

Wenn Sie Probleme bei der Installation dieses Supplemental Packs haben, wenden Sie sich an den technischen Support von Citrix.

Die Citrix Hypervisor 8.2-Dokumentation finden Sie auf der Website der Citrix Produktdokumentation .

Measured Boot Supplemental Pack