Konfigurieren von FIPS in XenMobile

Der FIPS-Modus (Federal Information Processing Standards) in XenMobile unterstützt Kunden der US-Regierung, indem für alle Verschlüsselungsvorgänge ausschließlich FIPS 140-2-zertifizierte Bibliotheken verwendet werden. Durch die Installation von XenMobile Server im FIPS-Modus wird sichergestellt, dass alle Daten für den XenMobile-Client und den -Server die Anforderungen von FIPS 140-2 erfüllen. Dies gilt für ruhende Daten und Daten in der Übertragung.

Bevor Sie XenMobile Server im FIPS-Modus installieren, müssen die folgenden Voraussetzungen erfüllt werden.

  • Verwenden Sie einen externen SQL Server 2012 oder SQL Server 2014 für die XenMobile-Datenbank. Der SQL Server muss für sichere SSL-Kommunikation konfiguriert sein. Anweisungen zum Konfigurieren der sicheren SSL-Kommunikation mit SQL Server finden Sie hier.

  • Für die sichere SSL-Kommunikation installieren Sie ein SSL-Zertifikat auf dem SQL Server-Rechner. Das SSL-Zertifikat kann ein öffentliches Zertifikat von einer kommerziellen Zertifizierungsstelle oder ein selbstsigniertes Zertifikat von einer internen Zertifizierungsstelle sein. SQL Server 2014 akzeptiert keine Platzhalterzertifikate. Citrix empfiehlt, dass Sie ein SSL-Zertifikat mit dem FQDN des SQL Servers anfordern.

  • Wenn Sie ein selbstsigniertes Zertifikat für SQL Server verwenden, beschaffen Sie eine Kopie des Stammzertifizierungsstellenzertifikats, von dem das selbstsignierte Zertifikat ausgestellt wurde. Sie importieren das Stammzertifizierungsstellenzertifikat während der Installation in XenMobile Server.

Konfigurieren des FIPS-Modus

Sie können den FIPS-Modus nur bei der Ersteinrichtung von XenMobile Server aktivieren. Nach der Installation kann FIPS nicht mehr aktiviert werden. Wenn Sie planen, den FIPS-Modus zu verwenden, müssen Sie daher von Anfang XenMobile Server mit dem FIPS-Modus installieren. Bei XenMobile-Clustern muss FIPS außerdem auf allen Clusterknoten aktiviert werden. Im selben Cluster ist keine Kombination aus XenMobile Server-Rechnern mit und ohne FIPS möglich.

Die XenMobile-Befehlszeilenschnittstelle enthält die Option Toggle FIPS mode, die nicht zur Verwendung in der Produktion vorgesehen ist. Die Option ist für die Diagnose gedacht und wird auf XenMobile-Produktionsservern nicht unterstützt.

  1. Aktivieren Sie FIPS mode bei der Erstinstallation.

  2. Laden Sie das Stammzertifizierungsstellenzertifikat für den SQL Server hoch. Wenn Sie ein selbstsigniertes SSL-Zertifikat statt eines öffentlichen Zertifikats für den SQL Server verwenden, wählen Sie für diese Option Yes aus. Führen Sie einen der folgenden Schritte aus:

    1. Kopieren Sie das Zertifizierungsstellenzertifikat und fügen Sie es ein.

    2. Importieren Sie das Zertifizierungsstellenzertifikat. Um das Zertifizierungsstellenzertifikat zu importieren, müssen Sie das Zertifikat auf einer Website bereitstellen, auf die von XenMobile Server über eine HTTP-URL zugegriffen werden kann. Einzeilheiten finden Sie unter Hochladen des Zertifikats in XenMobile.

  3. Geben Sie den Namen und den Port des SQL Servers sowie die Anmeldeinformationen für den SQL Server und den Namen der für XenMobile zu erstellenden Datenbank an.

    Hinweis:

    Sie können eine SQL-Anmeldung oder ein Active Directory-Konto für den Zugriff auf den SQL Server verwenden. Die Anmeldeinformationen müssen über eine DBcreator-Rolle verfügen.

  4. Wenn Sie ein Active Directory-Konto verwenden, geben Sie die Anmeldeinformationen im Format domäne\benutzername ein.

  5. Wenn Sie diese Schritte ausgeführt haben, fahren Sie mit der Ersteinrichtung von XenMobile fort.

Melden Sie sich an der XenMobile-Befehlszeilenschnittstelle an, um zu prüfen, ob der FIPS-Modus erfolgreich konfiguriert wurde. Im Anmeldebanner wird der Text In FIPS Compliant Mode angezeigt.

Importieren von Zertifikaten

Mit den folgenden Schritten konfigurieren Sie FIPS auf XenMobile durch Importieren des Zertifikats, das erforderlich ist, wenn Sie ein VMware-Hypervisor verwenden.

Voraussetzungen für SQL

  1. Die Verbindung zwischen der SQL-Instanz und XenMobile muss sicher sein und es muss sich um SQL Server Version 2012 oder SQL Server 2014 handeln. Informationen zum Schützen der Verbindung finden Sie unter Aktivieren der SSL-Verschlüsselung für eine Instanz von SQL Server mit der Microsoft Management Console.

  2. Wenn der Dienst nicht ordnungsgemäß neu gestartet wird, überprüfen Sie Folgendes: Öffnen Sie Services.msc.

    1. Kopieren Sie die Anmeldekontoinformationen für den SQL Server-Dienst.

    2. Öffnen Sie MMC.exe auf dem SQL Server.

    3. Gehen Sie zu Datei > Snap-In hinzufügen/entfernen und doppelklicken Sie auf das Zertifikatelement, das Sie dem Zertifikat-Snap-In hinzufügen möchten. Wählen Sie das Computerkonto und den lokalen Computer auf den zwei Seiten des Assistenten aus.

    4. Klicken Sie auf OK.

    5. Erweitern Sie Zertifikate (Lokaler Computer) > Persönlich > Zertifikate und suchen Sie nach dem importierten SSL-Zertifikat.

    6. Klicken Sie mit der rechten Maustaste auf das importierte Zertifikat, das Sie im SQL Server-Konfigurations-Manager ausgewählt haben, und klicken Sie dann auf Alle Aufgaben > Private Schlüssel verwalten.

    7. Klicken Sie unter Gruppen- oder Benutzernamen auf Hinzufügen.

    8. Geben Sie den Kontonamen des SQL-Diensts ein, den Sie zuvor kopiert haben.

    9. Deaktivieren Sie die Option Vollzugriff. Standardmäßig erhält das Dienstkonto Vollzugriffs- und Leseberechtigungen, aber es muss nur den privaten Schlüssel lesen können.

    10. Schließen Sie die MMC und starten Sie den SQL-Dienst.

  3. Stellen Sie sicher, dass der SQL-Dienst ordnungsgemäß startet.

Voraussetzungen für Internetinformationsdienste (IIS)

  1. Laden Sie das Stammzertifikat herunter (Base 64).

  2. Kopieren Sie das Stammzertifikat in die Standardsite auf dem IIS-Server, C:\inetpub\wwwroot.

  3. Aktivieren Sie das Kontrollkästchen Authentifizierung für die Standardsite.

  4. Legen Sie Anonym auf Aktiviert fest.

  5. Aktivieren Sie das Kontrollkästchen für Regeln beim Fehlschlagen der Auftragsüberwachung.

  6. Stellen Sie sicher, dass die Zertifikatdatei (.cer) nicht blockiert ist.

  7. Navigieren Sie vom lokalen Server aus im Internet Explorer-Browser zum Speicherort der CER-Datei: https://localhost/certname.cer. Der Text des Stammzertifikats wird im Browser angezeigt.

  8. Wenn das Stammzertifikat nicht im Internet Explorer-Browser angezeigt wird, stellen Sie wie folgt sicher, dass ASP auf dem IIS-Server aktiviert ist.

    1. Öffnen Sie den Server-Manager.

    2. Navigieren Sie zum Assistenten in Verwalten > Rollen und Features hinzufügen.

    3. Erweitern Sie in den Serverrollen Webserver (IIS), Webserver, Anwendungsentwicklung und wählen Sie ASP aus.

    4. Klicken Sie so oft auf Weiter, bis die Installation abgeschlossen ist.

  9. Öffnen Sie Internet Explorer und navigieren Sie zu https://localhost/cert.cer.

    Weitere Informationen finden Sie unter Webserver (IIS).

    Hinweis:

    Verwenden Sie die IIS-Instanz der Zertifizierungsstelle für diesen Vorgang.

Importieren des Stammzertifikats während der FIPS-Erstkonfiguration

Wenn Sie die Erstkonfiguration von XenMobile in der Befehlszeilenkonsole durchführen, müssen Sie die folgenden Einstellungen festlegen, um das Stammzertifikat zu importieren. Installationsanweisungen finden Sie unter Installieren von XenMobile.

  • Enable FIPS: Yes
  • Upload Root Certificate: Yes
  • Copy(c) or Import(i): i
  • Geben Sie die HTTP-URL für den Import ein: https://<FQDN of IIS server>/cert.cer
  • Server: FQDN des SQL Server-Computers
  • Port: 1433
  • User name: Dienstkonto, das die Berechtigungen zum Erstellen der Datenbank besitzt (domain\username).
  • Password: Das Kennwort für das Dienstkonto.
  • Datenbankname: ein Name Ihrer Wahl.

Aktivieren des FIPS-Modus auf Mobilgeräten

Standardmäßig ist der FIPS-Modus auf Mobilgeräten deaktiviert. Legen Sie zum Aktivieren des FIPS-Modus unter Einstellungen > Clienteigenschaften die Eigenschaft Enable FIPS Mode auf true fest. Weitere Informationen finden Sie unter Clienteigenschaften.