Citrix Hypervisor

Measured Boot Supplemental Pack

Mit dem Citrix Hypervisor Measured Boot Supplemental Pack können Kunden wichtige Komponenten ihrer Citrix Hypervisor Hosts beim Booten messen. Es bietet auch APIs, mit denen Remote-Bescheinigung Lösungen diese Messungen sicher erfassen können. Dieses Zusatzpaket ist mit Intel Computersystemen kompatibel, die Trusted Execution Technology (TXT) unterstützen.

Dieses Zusatzpaket steht auf der Citrix Hypervisor 8.2 Premium Edition Seite zum Download zur Verfügung.

Hinweis:

Meessing Boot Supplemental Pack ist für Citrix Hypervisor Premium Edition-Kunden oder Kunden verfügbar, die über ihre Citrix Virtual Apps and Desktops s-Berechtigung Zugriff auf Citrix Hypervisor haben.

Hintergrund

Nach der Installation dieses Supplemental Packs, wenn ein Citrix Hypervisor-Server das nächste Mal startet, nimmt TXT von Intel Messungen von Systemkomponenten auf niedriger Ebene (z. B. Firmware, BIOS, Xen Hypervisor, dom0-Kernel und dom0 initrd). Diese Messungen werden an einem sicheren Ort auf dem Host gespeichert, der als Trusted Platform Module (TPM) bezeichnet wird. Für Kunden wird eine neue Schnittstelle bereitgestellt, z. B. eine Fernbescheinigung, um diese Messungen sicher zu erfassen.

Fernbescheinigung

Remotebescheinigungslösungen funktionieren, indem eine Verbindung zu einem Citrix Hypervisor-Server hergestellt wird, der sich in einem sauberen Zustand befindet. Es kann remote und sicher das TPM des Citrix Hypervisor-Servers abfragen, um eine Liste der Systemmessungen auf niedrigem Niveau zu erhalten. Sie speichert diese Messungen in einer “White-List” oder “Bekanntes Gut” Messliste.

Zu diesem Zeitpunkt sammelt die Fernbescheinigung regelmäßig wichtige Systemmessungen und vergleicht sie mit der Liste “bekannter Güter”.

Ein Host wird in den folgenden Fällen als “nicht vertrauenswürdig” angesehen:

  • Wenn die Fernbescheinigung Software nicht in der Lage ist, die Messungen zu erfassen
  • Wenn sich die Messungen ändern
  • Wenn die kryptografischen Schlüssel nicht gültig sind

In diesem Fall wird der Kunde benachrichtigt. Eine übergeordnete Orchestrierungssoftware wie CloudStack, OpenStack oder Workload-Balancing-Software kann intelligente Sicherheitsvorgänge auf den betroffenen Hosts durchführen.

Vorbereiten des Citrix Hypervisor-Servers

Damit dieses Supplemental Pack ordnungsgemäß funktioniert, bearbeiten Sie vor dem Versuch, Daten zu sammeln, die folgenden Einstellungen im BIOS des Hosts:

  1. Richten Sie den Citrix Hypervisor-Server so ein, dass er im Legacymodus gestartet wird.

    Hinweis:

    Der UEFI-Boot-Modus wird beim gemessenen Booten nicht unterstützt.

  2. Aktivieren Sie Intel AES-NI.

  3. Schalten Sie TPM-Sicherheit oder Ein mit Messungen vor dem Bootenein.

  4. Löschen Sie das TPM.

    Mit dieser Aktion werden alle vorherigen Einstellungen und Kennwörter gelöscht, die dem TPM zugeordnet sind, damit das Citrix Hypervisor Measured Boot Supplemental Pack die Kontrolle über das TPM übernehmen kann.

    Hinweis:

    Nach diesem Schritt ist ein Neustart erforderlich.

  5. Aktivieren Sie TPM.

  6. Aktivieren Sie Intel TXT.

Hinweis:

  • Nach Schritt 5 und Schritt 6 ist ein Neustart erforderlich.
  • Die BIOS-Einstellungen variieren je nach Hardware-Hersteller. In der Hardwaredokumentation erfahren Sie, wie Sie TPM und TXT für ihre spezifische Umgebung aktivieren.

Installieren Sie das Supplemental Pack

Verwenden Sie die Citrix Hypervisor Befehlszeilenschnittstelle, um dieses Supplemental Pack zu installieren. Wie bei jedem Software-Update empfehlen wir Ihnen, Ihre Daten zu sichern, bevor Sie dieses Ergänzungspaket anwenden.

Zusätzliche Packs können innerhalb einer Zip-Datei übertragen werden. Wenn das Supplemental Pack-ISO in einer ZIP-Datei enthalten ist, entpacken Sie diese ZIP-Datei (um das ISO-Image der Festplatte zu erstellen), bevor Sie die folgenden Schritte ausführen.

Installieren auf einem laufenden Citrix Hypervisor -System

  1. Laden Sie das Supplemental Pack direkt auf den Citrix Hypervisor Host herunter, um es zu aktualisieren.

    Wir empfehlen, es im /tmp/ Verzeichnis zu speichern.

    Alternativ können Sie die Datei auf einen mit dem Internet verbundenen Computer herunterladen und das ISO-Image auf eine CD brennen.

  2. Verwenden Sie XenCenter, um auf die Konsole des Citrix Hypervisor Hosts zuzugreifen, oder verwenden Sie Secure Shell (SSH), um sich direkt anzumelden.

  3. Die einfachste Methode besteht darin, direkt aus der ISO-Datei zu installieren. Geben Sie Folgendes ein:

    xe-install-supplemental-pack /tmp/Citrix Hypervisor-8.2-measured-boot.iso
    

    Wenn Sie den ISO-Wert auf eine CD brennen möchten, müssen Sie den Datenträger auch mounten. Geben Sie für eine CD-ROM beispielsweise Folgendes ein:

        mkdir -p /mnt/tmp
        mount /dev/<path to cd-rom> /mnt/tmp
        cd /mnt/tmp/
        ./install.sh
        cd /
        umount /mnt/tmp
    
  4. Starten Sie Ihren Host neu, damit die Änderungen wirksam werden.

Neuinstallation

Wenn Sie dieses Supplemental Pack über eine frühere Version installieren, bestätigen Sie das Überschreiben der vorherigen Installation. Geben Sie ein Y, wenn Sie während der xe-install-supplemental-pack Installation aufgefordert werden.

Standardkennwort aktualisieren

In früheren Versionen des Zusatzpakets wurde das Standardkennwort xenroot mit einem Zeilenumbruch auf festgelegt. Dieser abschließende Zeilenumbruch wurde für das Standardkennwort in dieser Version des Zusatzpakets entfernt, wobei das neue Standardkennwort lautet xenroot.

Ein benutzerdefiniertes Kennwort kann in gesetzt werden /opt/xensource/tpm/config und muss ein sha1 Hash eines Nur-Text-Kennworts sein, das mit generiert werden kann echo -n <password | sha1sum. Wenn -n in dieser Befehlszeile weggelassen wird, ist ein nachgestellter Zeilenumbruch im Kennwort enthalten.

Festlegen von Asset-Tags

Asset-Tags können mit der /opt/xensource/tpm/xentpm Binärdatei mit den --tpm_set_asset_tag Methoden --tpm_clear_asset_tag und oder mithilfe des tpm Verwaltungs-API-Plug-Ins mit dem tpm_set_asset_tag ( wobei ein ‘tag’ Argument genommen wird) und tpm_clear_asset_tag Funktionen:

    /opt/xensource/tpm/xentpm --tpm_set_asset_tag <tag_sha1>
    /opt/xensource/tpm/xentpm --tpm_clear_asset_tag
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_set_asset_tag args:tag=<tag_sha1>
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_clear_asset_tag

Hinweis:

Nach diesem Schritt ist ein Neustart erforderlich.

Mehr Informationen

Informationen zum Herunterladen des Maßgeführten Boot-Zusatzpakets finden Sie auf der Citrix Hypervisor 8.2 Premium Edition Seite.

Wenn Sie Schwierigkeiten bei der Installation dieses Supplemental Packs haben, wenden Sie sich an Technischer Support von Citrix.

Die Citrix Hypervisor 8.2-Dokumentation finden Sie Citrix-Produktdokumentation auf der Website.

Measured Boot Supplemental Pack