Ergänzungspaket für gemessene Stiefel

October 16, 2019

Beigesteuert von: C

Mit dem Citrix Hypervisor Measured Boot Supplemental Pack können Kunden wichtige Komponenten ihrer Citrix Hypervisor Hosts beim Booten messen. Es bietet auch APIs, mit denen Remote-Bescheinigungslösungen diese Messungen sicher erfassen können. Dieses Ergänzungspaket ist kompatibel mit Intel-Computersystemen, die Trusted Execution Technology (TXT) unterstützen.

Dieses Ergänzungspaket kann von derCitrix Hypervisor 8.0 Premium EditionSeite heruntergeladen werden.

Hinweis:

Measured Boot Supplemental Pack ist für Citrix Hypervisor Premium Edition-Kunden oder Kunden verfügbar, die über ihre Citrix Virtual Apps und Desktops Zugriff auf Citrix Hypervisor haben.

Hintergrund

Nach der Installation dieses Supplemental Packs, wenn ein Citrix Hypervisor or-Server als nächstes gestartet wird, nimmt Intels TXT Messungen von Systemkomponenten niedriger Stufe (wie Firmware, BIOS, Xen Hypervisor, dom0 Kernel und dom0 initrd) vor und speichert sie an einem sicheren Ort auf dem als vertrauenswürdigen Host bekannten Trusted Plattformmodul (TPM). Eine neue Schnittstelle für Kunden, wie z. B. eine Remote-Bescheinigungslösung, wird zur sicheren Erfassung dieser Messungen bereitgestellt.

Remote-Bescheinigung

Remote-Bescheinigungslösungen funktionieren, indem eine Verbindung zu einem Citrix Hypervisor or-Server hergestellt wird, der sich in einem sauberen Zustand befindet. Es kann remote und sicher das TPM des Citrix Hypervisor or-Servers abfragen, um eine Liste der niedrigen Systemmessungen zu erhalten. Sie speichert diese Messungen in einer „White-List“ oder „Bekanntes Gut“ -Messliste.

An dieser Stelle sammelt die Remote-Bescheinigungssoftware regelmäßig wichtige Systemmessungen und vergleicht sie mit ihrer Liste „Bekanntes Gut“.

Ein Host gilt in folgenden Fällen als „nicht vertrauenswürdig“:

Wenn die Remote-Bescheinigungssoftware die Messungen nicht erfassen kann
Wenn sich die Messungen ändern
Wenn die kryptografischen Schlüssel ungültig sind

In diesem Fall wird der Kunde benachrichtigt. Eine höhere Orchestrierungssoftware wie CloudStack, OpenStack oder Workload-Balancing-Software kann intelligente Sicherheitsvorgänge auf den betroffenen Hosts ausführen.

Vorbereiten des Citrix Hypervisor -Servers

Damit dieses Supplemental Pack ordnungsgemäß funktioniert, bearbeiten Sie vor dem Versuch, Daten zu sammeln, die folgenden Einstellungen im BIOS ihres Hosts:

Richten Sie den Citrix Hypervisor or-Server so ein, dass er im Legacy-Modus gestartet wird.

Hinweis:

Der UEFI-Boot-Modus wird beim gemessenen Start nicht unterstützt.
Aktivieren Sie Intel AES-NI.
Schalten Sie TPM Security oder On mit Messungen vor dem Start ein.
Reinigen Sie das TPM.

Mit dieser Aktion werden alle vorherigen Einstellungen und Kennwörter gelöscht, die mit dem TPM verknüpft sind, damit das Citrix Hypervisor Measured Boot Supplemental Pack die Kontrolle über das TPM übernehmen kann.

Hinweis:

Nach diesem Schritt ist ein Neustart erforderlich.
Aktivieren Sie TPM.
Aktivieren Sie Intel TXT.

Hinweis:

Nach Schritt 5 und Schritt 6 ist ein Neustart erforderlich.

Die BIOS-Einstellungen variieren je nach Hardwarehersteller. Lesen Sie in der Hardwaredokumentation, wie Sie TPM und TXT für ihre spezifische Umgebung aktivieren.

Installieren Sie das Supplemental Pack

Verwenden Sie die Citrix Hypervisor CLI, um dieses Supplemental Pack zu installieren. Wie bei jedem Softwareupdate empfehlen wir Ihnen, Ihre Daten zu sichern, bevor Sie dieses Ergänzungspaket anwenden.

Supplemental Packs können innerhalb einer ZIP-Datei übertragen werden. Wenn das Supplemental Pack-ISO in einer ZIP-Datei enthalten ist, entpacken Sie diese ZIP-Datei (um das Disk-ISO-Image zu erzeugen), bevor Sie die folgenden Schritte ausführen.

Installation auf einem laufenden Citrix Hypervisor -System

Laden Sie das Supplemental Pack direkt auf den zu aktualisierenden Citrix Hypervisor Host herunter.

Wir empfehlen, es im/tmp/ Verzeichnis zu speichern.

Alternativ können Sie die Datei auf einen mit dem Internet verbundenen Computer herunterladen und das ISO-Image auf eine CD brennen.
Verwenden Sie XenCenter, um auf die Konsole des Citrix Hypervisor Hosts zuzugreifen, oder verwenden Sie Secure Shell (SSH), um sich direkt anzumelden.
Die einfachste Methode besteht darin, direkt aus der ISO-Datei zu installieren. Geben Sie Folgendes ein:
```
xe-install-supplemental-pack /tmp/Citrix Hypervisor-8.0-measured-boot.iso
```
Wenn Sie das ISO auf eine CD brennen möchten, müssen Sie den Datenträger mounten. Geben Sie beispielsweise für eine CD-ROM Folgendes ein:
```
    mkdir -p /mnt/tmp
    mount /dev/<path to cd-rom> /mnt/tmp
    cd /mnt/tmp/
    ./install.sh
    cd /
    umount /mnt/tmp
```
Damit die Änderungen wirksam werden, starten Sie Ihren Host neu.

Neuinstallation

Wenn Sie dieses Supplemental Pack auf einer früheren Version installieren, bestätigen Sie das Überschreiben der vorherigen Installation. Geben Sie einY , wenn Sie während derxe-install-supplemental-pack Installation aufgefordert werden.

Standardkennwort aktualisieren

In früheren Versionen des Zusatzpakets wurde das Standardkennwortxenroot mit einem nachfolgenden Zeilenumbruch auf gesetzt. Dieser nachfolgende Zeilenumbruch wurde für das Standardkennwort in dieser Version des Zusatzpakets entfernt, wobei das neue Standardkennwort lautetxenroot.

Ein benutzerdefiniertes Passwort kann in gesetzt werden/opt/xensource/tpm/config und muss ein sha1 Hash eines Nur-Text-Passworts sein, das mit generiert werden kannecho -n <password | sha1sum . Wenn in dieser Befehlszeile weggelassen-n wird, ist ein nachgestellter Zeilenumbruch im Kennwort enthalten.

Asset-Tags festlegen

Asset-Tags können mit der/opt/xensource/tpm/xentpm Binärdatei mit den--tpm_set_asset_tag Methoden--tpm_clear_asset_tag und festgelegt werden, oder auch mit demtpm Management-API-Plug-In mit dentpm_set_asset_tag (ein ‘tag’ Argument nehmen) undtpm_clear_asset_tag Funktionen:

    /opt/xensource/tpm/xentpm --tpm_set_asset_tag <tag_sha1>
    /opt/xensource/tpm/xentpm --tpm_clear_asset_tag
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_set_asset_tag args:tag=<tag_sha1>
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_clear_asset_tag

Hinweis:

Nach diesem Schritt ist ein Neustart erforderlich.

Weitere Informationen

Informationen zum Herunterladen des Supplemental Packs für Meßboote finden SieCitrix Hypervisor 8.0 Premium Editionauf der Seite.

Wenn Sie Schwierigkeiten bei der Installation dieses Supplemental Packs haben, wenden Sie sich anTechnischer Support von Citrix.

Die Dokumentation zu Citrix Hypervisor 8.0 finden SieCitrix Produktdokumentationauf der Website.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Citrix Dokumentation maschinell übersetzt. Citrix hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Citrix Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Citrix gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Citrix kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

Ergänzungspaket für gemessene Stiefel

October 16, 2019

Beigesteuert von: C

In diesem Artikel

Hintergrund
Remote-Bescheinigung
Vorbereiten des Citrix Hypervisor -Servers
Installieren Sie das Supplemental Pack
Standardkennwort aktualisieren
Asset-Tags festlegen
Weitere Informationen

Edit this article