Configurer FIPS avec XenMobile

Le mode FIPS (Federal Information Processing Standards) dans XenMobile prend en charge les clients du gouvernement fédéral américain en utilisant uniquement des annuaires certifiés FIPS 140-2 pour toutes les opérations de cryptage. L’installation de XenMobile Server avec le mode FIPS garantit que toutes les données pour le client et le serveur XenMobile sont entièrement conformes à la norme FIPS 140-2. Cette conformité s’applique aux données au repos et aux données en transit.

Avant d’installer XenMobile Server en mode FIPS, vous devez remplir les conditions préalables suivantes.

  • Utilisez un SQL Server 2012 ou SQL Server 2014 externe pour la base de données XenMobile. Le SQL Server doit également être configuré pour sécuriser les communications avec SSL. Pour obtenir des instructions sur la configuration de la communication SSL sécurisée avec SQL Server, consultez la documentation SQL Server en ligne.

  • Les communications SSL sécurisées requièrent l’installation d’un certificat SSL sur votre SQL Server. Le certificat SSL peut être un certificat public provenant d’une autorité de certification commerciale ou un certificat auto-signé provenant d’une autorité de certification interne. Veuillez noter que SQL Server 2014 n’accepte pas les certificats génériques. Citrix vous recommande par conséquent de demander un certificat SSL avec le nom de domaine complet du SQL Server.

  • Si vous utilisez un certificat auto-signé pour SQL Server, obtenez une copie du certificat d’autorité de certification racine qui a émis votre certificat auto-signé. Importez le certificat d’autorité de certification racine sur le serveur XenMobile durant l’installation.

Configuration du mode FIPS

Vous pouvez activer le mode FIPS uniquement lors de l’installation initiale de XenMobile Server. Il n’est pas possible d’activer le mode FIPS une fois l’installation terminée. Par conséquent, si vous envisagez d’utiliser le mode FIPS, vous devez installer XenMobile Server avec le mode FIPS dès le début. En outre, pour les clusters XenMobile, FIPS doit être activé pour tous les nœuds de cluster. Vous ne pouvez pas avoir un mélange de serveurs XenMobile FIPS et non-FIPS dans le même cluster.

L’option Toggle FIPS mode dans l’interface de ligne de commande XenMobile n’est pas destinée à une utilisation en production. Cette option est conçue pour les environnements de non production, à des fins de diagnostic et n’est pas prise en charge sur un serveur XenMobile de production.

  1. Durant l’installation initiale, activez FIPS mode.

  2. Chargez le certificat d’autorité de certification racine pour votre SQL Server. Si vous utilisez un certificat SSL auto-signé plutôt qu’un certificat public sur votre SQL Server, choisissez Yes pour cette option. Procédez ensuite comme suit :

    1. Copiez et collez le certificat d’autorité de certification.

    2. Importez le certificat d’autorité de certification. Pour importer le certificat d’autorité de certification, vous devez publier le certificat sur un site Web accessible depuis XenMobile Server via une URL HTTP. Pour plus d’informations, consultez la section Chargement du certificat sur XenMobile.

  3. Spécifiez le nom et le port du serveur de votre SQL Server, les informations d’identification permettant de se connecter à SQL Server, et le nom de la base de données à créer pour XenMobile.

    Remarque :

    vous pouvez utiliser au choix une ouverture de session SQL ou un compte Active Directory pour accéder à SQL Server, mais l’ouverture de session que vous utilisez doit avoir le rôle DBcreator.

  4. Pour utiliser un compte Active Directory, entrez les informations d’identification au format domaine\nomutilisateur.

  5. Une fois ces étapes terminées, procédez à l’installation initiale de XenMobile.

Pour confirmer que le mode FIPS est opérationnel, ouvrez une session sur l’interface de ligne de commande XenMobile. La phrase In FIPS Compliant Mode apparaît dans la bannière d’ouverture de session.

Importation de certificats

La procédure suivante décrit comment configurer FIPS sur XenMobile en important le certificat, ce qui est requis lorsque vous utilisez un hyperviseur VMware.

Configuration SQL requise

  1. La connexion à l’instance SQL à partir de XenMobile doit être sécurisée et doit être SQL Server version 2012 ou SQL Server 2014. Pour sécuriser la connexion, consultez la page Comment activer le chiffrement SSL pour une instance de SQL Server à l’aide de la console MMC.

  2. Si le service ne redémarre pas correctement, vérifiez ce qui suit : ouvrez Services.msc.

    1. Copiez les informations du compte d’ouverture de session utilisées pour le service SQL Server.

    2. Ouvrez MMC.exe sur le SQL Server.

    3. Accédez à Fichier > Ajouter/Supprimer un composant logiciel enfichable et double-cliquez sur les certificats pour ajouter le composant logiciel enfichable Certificats. Sélectionnez le compte d’ordinateur et l’ordinateur local dans les deux pages de l’assistant.

    4. Cliquez sur OK.

    5. Développez Certificats (ordinateur local) > Personnel > Certificats et localisez le certificat SSL importé.

    6. Cliquez avec le bouton droit sur le certificat importé (sélectionné dans le Gestionnaire de configuration SQL Server) et cliquez sur Toutes les tâches > Gérer les clés privées.

    7. Sous Noms de groupe ou d’utilisateur, cliquez sur Ajouter.

    8. Entrez le nom de compte du service SQL que vous avez copié dans l’étape précédente.

    9. Décochez l’option Autoriser Contrôle total. Par défaut, les autorisations Contrôle totale et Lecture seront accordées au compte de service, toutefois il a seulement besoin de pouvoir lire la clé privée.

    10. Fermez MMC et démarrez le service SQL.

  3. Assurez-vous que le service SQL est démarré correctement.

Conditions requises par les services Internet (IIS)

  1. Téléchargez le certificat racine (base 64).

  2. Copiez le certificat racine sur le site par défaut sur le serveur IIS, C:\inetpub\wwwroot.

  3. Cochez la case Authentification du site par défaut.

  4. Définissez Anonyme sur Activé.

  5. Sélectionnez la case à cocher des règles Échec de la demande de suivi.

  6. Assurez-vous que .cer n’est pas bloqué.

  7. Accédez à l’emplacement du .cer dans un navigateur Internet Explorer à partir d’un serveur local, https://localhost/certname.cer. Le texte du certificat racine apparaît dans le navigateur.

  8. Si le certificat racine ne s’affiche pas dans le navigateur Internet Explorer, assurez-vous que ASP est activé sur le serveur IIS comme suit.

    1. Ouvrez le gestionnaire de serveur.

    2. Accédez à l’assistant sous Gérer > Ajouter des rôles et fonctionnalités.

    3. Dans les rôles de serveur, développez Serveur Web (IIS), développez Serveur Web, développez Développement d’applications et sélectionnez ASP.

    4. Cliquez sur Suivant jusqu’à ce que l’installation soit terminée.

  9. Ouvrez Internet Explorer et accédez à https://localhost/cert.cer.

    Pour plus d’informations, consultez la section Serveur Web (IIS).

    Remarque :

    Vous pouvez utiliser l’instance IIS de l’autorité de certification pour cette procédure.

Importation du certificat racine durant la configuration initiale de FIPS

Lorsque vous configurez XenMobile pour la première fois dans la console de ligne de commande, vous devez définir les paramètres suivants pour importer le certificat racine. Pour plus de détails sur les étapes d’installation, consultez la section Installer XenMobile.

  • Enable FIPS : Yes
  • Upload Root Certificate : Yes
  • Copy(c) or Import(i) : i
  • Entrez l’URL HTTP à importer : https://<FQDN of IIS server>/cert.cer
  • Server : Nom de domaine complet de SQL Server
  • Port : 1433
  • User name : compte de service qui peut créer la base de données (domain\username)
  • Password : mot de passe du compte de service.
  • Database Name : un nom de votre choix.

Activer le mode FIPS sur des appareils mobiles

Par défaut, le mode FIPS est désactivé sur les appareils mobiles. Pour activer le mode FIPS, accédez à Paramètres > Propriétés du client, modifiez la propriété Activer le mode FIPS et définissez la valeur sur true. Pour de plus amples informations, consultez la section Propriétés du client.