Configurar FIPS con XenMobile

El modo FIPS (Federal Information Processing Standards) en XenMobile da respaldo a clientes pertenecientes a organismos del gobierno federal de los Estados Unidos, ya que solo utiliza bibliotecas certificadas por FIPS 140-2 para todas las operaciones de cifrado. Si instala XenMobile Server con el modo FIPS, se asegura de que todos los datos para el cliente y para el servidor XenMobile cumplen los estándares de FIPS 140-2. Ese cumplimiento se aplica a los datos en reposo y los datos en tránsito.

Antes de instalar un servidor XenMobile Server en modo FIPS, complete los siguientes requisitos previos.

  • Use un servidor SQL Server 2012 o SQL Server 2014 externo para la base de datos de XenMobile. El servidor SQL Server también debe configurarse para la comunicación SSL segura. Para obtener instrucciones sobre cómo configurar la comunicación SSL segura con SQL Server, consulte SQL Server Books Online.

  • Para la comunicación SSL segura, se necesita instalar un certificado SSL en el servidor SQL Server. El certificado SSL puede ser un certificado público de una entidad de certificación (CA) comercial, o un certificado autofirmado de una CA interna. SQL Server 2014 no puede aceptar un certificado comodín. Por tanto, Citrix recomienda solicitar un certificado SSL con el nombre de dominio completo (FQDN) del servidor SQL Server.

  • Si usa un certificado autofirmado para el servidor SQL Server, necesitará una copia del certificado raíz de la CA que emitió su certificado autofirmado. Importe el certificado raíz de la CA en XenMobile Server durante la instalación.

Configurar el modo FIPS

El modo FIPS solo puede habilitarse durante la instalación inicial de XenMobile Server. No se puede habilitar FIPS una vez completada la instalación. Por lo tanto, si va a usar el modo FIPS, debe instalar XenMobile Server con el modo FIPS desde el principio. Además, para los clústeres de XenMobile, todos los nodos del clúster deben tener habilitado FIPS. No puede tener una mezcla de servidores XenMobile Server con FIPS y sin FIPS en el mismo clúster.

Dispone de la opción Toggle FIPS mode en la interfaz de línea de comandos de XenMobile: no es para usar en un entorno de producción. Esta opción está pensada para usarse en entornos que no son de producción, con fines de diagnóstico, y no recibe respaldo en entornos XenMobile Server de producción.

  1. Durante la instalación inicial, habilite FIPS mode.

  2. Cargue el certificado raíz de la CA del servidor SQL. Si usó un certificado SSL autofirmado en lugar de un certificado público en el servidor SQL, elija Yes para esta opción. A continuación, lleve a cabo una de las siguientes acciones:

    1. Copie y pegue el certificado de la CA.

    2. Importe el certificado de la CA. Para importar el certificado de la CA, debe publicar ese certificado en un sitio Web que sea accesible desde XenMobile Server a través de una URL con HTTP. Para obtener información más detallada, consulte Cargar el certificado en XenMobile.

  3. Especifique el nombre del servidor y el puerto del servidor SQL Server, las credenciales para iniciar sesión en SQL Server y el nombre de la base de datos que se debe crear para XenMobile.

    Nota:

    Para acceder a SQL Server, puede usar un inicio de sesión de SQL o una cuenta de Active Directory, pero el inicio de sesión que use debe tener el rol de creador de bases de datos (DBcreator).

  4. Para usar una cuenta de Active Directory, introduzca las credenciales con el formato dominio\nombre-de-usuario.

  5. Una vez completados estos pasos, continúe con la instalación inicial de XenMobile.

Para confirmar que la configuración de FIPS es correcta, inicie una sesión en la interfaz de línea de comandos de XenMobile. Aparece la frase In FIPS Compliant Mode en la pancarta de inicio de sesión.

Importar certificados

El siguiente procedimiento describe cómo configurar FIPS en XenMobile importando el certificado, lo cual es necesario cuando se usa un hipervisor VMWare.

Requisitos previos de SQL

  1. La conexión con la instancia SQL desde XenMobile debe ser segura y la versión debe ser SQL Server 2012 o SQL Server 2014. Para proteger la conexión, consulte Cómo habilitar el cifrado de SSL para una instancia de SQL Server con Microsoft Management Console.

  2. Si el servicio no se reinicia correctamente, compruebe lo siguiente: Abra Services.msc.

    1. Copie la información de cuenta de inicio de sesión utilizada para el servicio SQL Server.

    2. Abra MMC.exe en SQL Server.

    3. Vaya a Archivo > Agregar o quitar complemento y haga doble clic en el elemento Certificados para agregar el complemento Certificados. Seleccione Cuenta de equipo y Equipo local en las dos páginas siguientes del asistente.

    4. Haga clic en OK.

    5. Expanda Certificados (Equipo local) > Personal > Certificados y busque el certificado SSL importado.

    6. Haga clic con el botón secundario en el certificado importado (seleccionado en el Administrador de configuración de SQL Server) y haga clic en Todas las tareas > Administrar claves privadas.

    7. En Nombres de grupo o usuario, haga clic en Agregar.

    8. Introduzca el nombre de la cuenta del servicio SQL que copió en uno de los pasos anteriores.

    9. Deje sin marcar la casilla Permitir control total. De manera predeterminada, la cuenta del servicio recibe permisos de Control total y Leer, pero en realidad solo necesita leer la clave privada.

    10. Cierre MMC e inicie el servicio de SQL.

  3. Compruebe que el servicio SQL se inicia correctamente.

Requisitos previos de Internet Information Services (IIS)

  1. Descargue el certificado raíz (base 64).

  2. Copie el certificado raíz al sitio Web predeterminado del servidor IIS, C:\inetpub\wwwroot.

  3. Marque la casilla Autenticación para el sitio predeterminado.

  4. Establezca el parámetro Anónimo en habilitado.

  5. Marque la casilla de reglas de Seguimiento de solicitudes con error.

  6. Compruebe que .cer no esté bloqueado.

  7. Vaya a la ubicación del archivo .cer en Internet Explorer desde el servidor local, https://localhost/certname.cer. El texto de certificado raíz aparecerá en el explorador Web.

  8. Si el certificado raíz no aparece en Internet Explorer, compruebe de este modo que ASP está habilitado en el servidor IIS.

    1. Abra el Administrador del servidor.

    2. Vaya al asistente en Administrar > Agregar roles y características.

    3. En los roles del servidor, expanda Servidor web (IIS), expanda Servidor web, expanda Desarrollo de aplicaciones y después seleccione ASP.

    4. Haga clic en Siguiente hasta que se complete la instalación.

  9. Abra Internet Explorer y vaya a https://localhost/cert.cer.

    Para obtener más información, consulte Servidor Web (IIS).

    Nota:

    Puede usar la instancia de IIS de la CA para este procedimiento.

Importar el certificado raíz durante la configuración inicial de FIPS

Cuando complete los pasos para configurar XenMobile por primera vez en la consola de línea de comandos, debe completar estos parámetros para importar el certificado raíz. Para conocer los pasos de instalación, consulte Instalar XenMobile.

  • Enable FIPS: Sí
  • Upload Root Certificate: Sí
  • Copy(c) or Import(i): i
  • Enter HTTP URL to import: https://<FQDN of IIS server>/cert.cer
  • Server: FQDN de SQL Server
  • Port: 1433
  • User name: Cuenta del servicio con capacidad para crear la base de datos (domain\username).
  • Password: La contraseña de la cuenta del servicio.
  • Database Name: El nombre que decida.

Habilitar el modo FIPS en los dispositivos móviles

De forma predeterminada, el modo FIPS está inhabilitado en los dispositivos móviles. Para habilitar el modo FIPS, vaya a Parámetros > Propiedades de cliente, modifique la propiedad Enable FIPS Mode y establezca el valor en verdadero. Para obtener más información, consulte Propiedades de cliente.