Product Documentation

Configuración de FIPS con XenMobile

Mar 02, 2017

El modo FIPS (Federal Information Processing Standards) en XenMobile da respaldo a clientes pertenecientes a organismos del gobierno federal de los Estados Unidos, al configurar el servidor para utilizar bibliotecas de certificados FIPS 140-2 para todas las operaciones de cifrado. Mediante la instalación del servidor XenMobile con el modo FIPS, se asegura de que todos los datos, tanto en reposo como en tránsito, para el cliente y para el servidor XenMobile, cumplen los estándares de FIPS 140-2. 

Antes de instalar un servidor XenMobile en modo FIPS, es necesario completar los siguientes requisitos previos.

  • Debe usar un servidor SQL Server 2012 o SQL Server 2014 externo para la base de datos de XenMobile. El servidor SQL Server también debe configurarse para la comunicación SSL segura. Para ver instrucciones sobre cómo configurar la comunicación SSL segura con el servidor SQL Server, consulte los Manuales de SQL Server.
  • Para la comunicación SSL segura se necesita instalar un certificado SSL en el servidor SQL Server. El certificado SSL puede ser un certificado público de una entidad de certificación (CA) comercial, o un certificado autofirmado de una CA interna. SQL Server 2014 no puede aceptar un certificado comodín. Por tanto, Citrix recomienda solicitar un certificado SSL con el nombre de dominio completo (FQDN) del servidor SQL Server.
  • Si usa un certificado autofirmado para el servidor SQL Server, necesitará una copia del certificado raíz de la CA que emitió su certificado autofirmado. El certificado raíz de la CA debe importarse en el servidor XenMobile durante la instalación.

Configuración del modo FIPS

El modo FIPS solo puede habilitarse durante la instalación inicial del servidor XenMobile. No se puede habilitar FIPS una vez completada la instalación. Por lo tanto, si va a usar el modo FIPS, debe instalar el servidor XenMobile con el modo FIPS desde el principio. Además, si tiene un clúster de XenMobile, todos los nodos del mismo deben tener FIPS habilitado; no se puede tener una mezcla de servidores XenMobile con FIPS y sin FIPS en un mismo clúster.

Hay una opción Toggle FIPS mode en la interfaz de línea de comandos de XenMobile que no debe usarse en producción. Esta opción está pensada para usarse en entornos que no son de producción, con fines de diagnóstico, y no recibe respaldo en servidores XenMobile de producción.

1. Durante la instalación inicial, habilite FIPS mode.

2. Cargue el certificado raíz de la CA para el servidor SQL Server. Si usó un certificado SSL autofirmado en lugar de un certificado público en el servidor SQL Server, elija Yes para esta opción, y lleve a cabo una de las acciones siguientes:

a. Copie y pegue el certificado de la CA.

b. Importe el certificado de la CA. Para importar el certificado de la CA, debe publicar el certificado en un sitio Web que sea accesible desde el servidor XenMobile a través de una URL con HTTP. Para obtener más información, consulte la sección Importación de certificados más adelante en este artículo.

3. Especifique el nombre del servidor y el puerto del servidor SQL Server, las credenciales para iniciar sesión en SQL Server y el nombre de la base de datos que se debe crear para XenMobile.

Nota: Para acceder a SQL Server puede usar un inicio de sesión de SQL o una cuenta de Active Directory, pero el inicio de sesión que use debe tener el rol de creador de bases de datos (DBcreator).

4. Para usar una cuenta de Active Directory, introduzca las credenciales con el formato dominio\nombre-de-usuario.

5. Una vez completados estos pasos, continúe con la instalación inicial de XenMobile.

Para confirmar que la configuración de FIPS es correcta, inicie una sesión en la interfaz de línea de comandos de XenMobile.  La frase In FIPS Compliant Mode aparecerá en el mensaje de inicio de sesión.

Importación de certificados

El siguiente procedimiento describe cómo configurar FIPS en XenMobile importando el certificado, lo cual es necesario cuando se usa un hipervisor VMWare.   

Requisitos previos de SQL

1. La conexión con la instancia SQL desde XenMobile necesita ser segura y la versión debe ser SQL Server 2012 o SQL Server 2014. Para proteger la seguridad de la conexión, consulte Cómo habilitar el cifrado SSL para una instancia de SQL Server usando Microsoft Management Console.

2. Si el servicio no se reinicia correctamente, compruebe lo siguiente: Abra Services.msc.

a. Copie la información de cuenta de inicio de sesión utilizada para el servicio SQL Server.

b. Abra MMC.exe en SQL Server.

c. Vaya a Archivo > Agregar o quitar complemento y luego haga doble clic en el elemento Certificados para agregar el complemento Certificados. Seleccione Cuenta de equipo y Equipo local en las dos páginas siguientes del asistente.

d. Haga clic en Aceptar.

e. Expanda Certificados (Equipo local) > Personal > Certificados y busque el certificado SSL importado.

f. Haga clic con el botón secundario en el certificado importado (seleccionado en el Administrador de configuración de SQL Server) y haga clic en Todas las tareas > Administrar claves privadas.

g. En Nombres de grupos o usuarios, haga clic en Agregar.

h. Introduzca el nombre de la cuenta del servicio SQL que copió en uno de los pasos anteriores.

i. Deje sin marcar la casilla de Permitir control total. De manera predeterminada, la cuenta del servicio recibe permisos de Control total y Leer, pero en realidad solo necesita leer la clave privada.

j. Cierre MMC e inicie el servicio SQL.

3. Asegúrese de que el servicio SQL se inicia correctamente.

Requisitos previos de Internet Information Services (IIS)

1. Descargue el certificado raíz (base 64).

2. Copie el certificado raíz en el sitio Web predeterminado del servidor IIS, C:\inetpub\wwwroot.

3. Marque la casilla Autenticación para el sitio predeterminado.

4. Defina el parámetro Anónimo como habilitado.

5. Marque la casilla de reglas de Seguimiento de solicitudes con error.

6. Asegúrese de que .cer no esté bloqueado.

7. Busque la ubicación del archivo .cer en Internet Explorer desde el servidor local, http://localhost/nombre-certificado.cer. El texto de certificado raíz aparecerá en el explorador Web.

8. Si el certificado raíz no aparece en Internet Explorer, asegúrese de que ASP está habilitado en el servidor IIS, de este modo.

a. Abra Administrador del servidor.

b. Vaya al asistente Administrar > Agregar roles y características.

c. En los roles del servidor, expanda Servidor web (IIS), expanda Servidor web, expanda Desarrollo de aplicaciones y después seleccione ASP.

d. Haga clic en Siguiente hasta que se complete la instalación.

9. Abra Internet Explorer y vaya a http://localhost/cert.cer.

Para obtener más información, consulte Internet Information Services (IIS) 8.5.

Nota

Puede usar la instancia de IIS de la CA para este procedimiento. 

Importación del certificado raíz durante la configuración inicial de FIPS

Cuando complete los pasos para configurar XenMobile por primera vez en la consola de línea de comandos, debe completar estos parámetros para importar el certificado raíz. Para obtener información detallada sobre los pasos de instalación, consulte Instalación de XenMobile.

  • Enable FIPS: Yes
  • Upload Root Certificate: Yes
  • Copy(c) or Import(i): i
  • Enter HTTP URL to import: http://Nombre FQDN del servidor IIS/cert.cer
  • Server: Nombre FQDN del servidor SQL Server
  • Port: 1433
  • User name: Cuenta del servicio con capacidad para crear la base de datos (dominio\nombre-de-usuario).
  • Password: La contraseña de la cuenta del servicio.
  • Database Name: Introduzca el nombre que desee para la base de datos.