Product Documentation

XenMobileでのFIPSの構成

Aug 02, 2016

XenMobileの米国の情報処理標準(FIPS:Federal Information Processing Standards)モードは、 すべての暗号化操作に対してFIPS 140-2証明済みライブラリを使用するようにサーバーを構成して、米国政府のカスタマーをサポートします。 XenMobileサーバーをFIPSモードでインストールすると、すべての静止データおよびXenMobileクライアントとサーバーの両方でやり取りされるデータをFIPS 140-2に完全に準拠させることができます。

XenMobileサーバーをFIPSモードでインストールする前に、次の前提条件を完了させる必要があります。

  • XenMobileデーターベースには外部のSQL Server 2012またはSQL Server 2014を使用する必要があります。 またSQL ServerをセキュアSSL通信用に構成する必要があります。 SQL Serverに対するセキュアなSSL通信の構成手順については、「SQL Server Books Online」を参照してください。
  • セキュアSSL通信を実行するには、SQL ServerにSSL証明書をインストールする必要があります。 SSL証明書は、商用CAの公開証明書または内部CAの自己署名証明書のいずれかにすることができます。 SQL Server 2014はワイルドカード証明書を受け付けることはできません。 そのため、SQL ServerのFQDN付きSSL証明書を要求することをお勧めします。
  • SQL Serverに自己署名証明書を使用する場合、自己署名証明書を発行したルートCA証明書をコピーする必要があります。 ルートCA証明書は、インストール中にXenMobileサーバーにインポートされる必要があります。

FIPSモードの構成

FIPSモードは、XenMobileサーバーの初回セットアップ時にのみ有効にできます。 インストールが完了したら、FIPSを有効にはできません。 そのため、FIPSモードの使用を予定している場合は、XenMobileサーバーを最初からFIPSモードでインストールする必要があります。 またさらに、XenMobileクラスターがある場合は、すべてのクラスターノードでFIPSを有効にする必要があります。FIPSと非FIPS XenMobileサーバーを同じクラスター内に混在させることはできません。

実稼働環境では使用しないXenMobileコマンドラインインターフェイスには、Toggle FIPS modeオプションがあります。 このオプションは診断目的のための非実稼働環境用のもので、実稼働環境でのXenMobileサーバーではサポートされません。

1. セットアップ時にFIPSモードを有効にします。

2. SQL Server用のルートCA証明書をアップロードします。 SQL Serverで公開証明書ではなく自己署名SSL証明書を使用した場合は、このオプションについては[Yes]を選択して、次のいずれかを実行します。

a. CA証明書をコピーして貼り付けます。

b. CA証明書をインポートします。 CA証明書をインポートするには、XenMobileサーバーからHTTP URLを介してアクセスできるWebサイトに証明書を送信する必要があります。 詳しくは、このアーティクルで後述している「証明書のインポート」を参照してください。

3. SQL Serverのサーバー名とポート、SQL Serverにログインするための資格情報、およびXenMobileに対して作成するデータベース名を指定します。

注:SQL Serverにアクセスするには、SQLログオンまたはActive Directoryアカウントのいずれかを使用できますが、使用するログオン資格情報にはDBcreator役割が必要です。

4. Active Directoryアカウントを使用するには、「ドメイン\ユーザー名」形式で資格情報を入力します。

5. これらの手順が完了したら、XenMobileの初期セットアップを実行します。

FIPSモードの構成が成功したことを確認するには、XenMobileコマンドラインインターフェイスにログオンします。  ログオンバナーに[In FIPS Compliant Mode]と表示されます。

証明書のインポート

以下で、VMwareハイパーバイザーを使用する場合に必要となる証明書をインポートしてXenMobile上でFIPSを構成する方法について説明します。   

SQLの前提条件

1. XenMobileからSQLインスタンスの接続をセキュリティで保護し、SQL Serverのバージョンは2012または2014が必要です。 接続の保護については、「How to enable SSL encryption for an instance of SQL Server by using Microsoft Management Console」を参照してください。

2. サービスが適切に再開しない場合は、Services.mscを開いて次のようにチェックします。

a. SQL Serverサービスで使用されたログオンアカウント情報をコピーします。

b. SQL ServerでMMC.exeを開きます。

c. [ファイル]>[スナップインの追加と削除]の順に選択し、証明書アイテムをダブルクリックして証明書スナップインを追加します。 ウィザードの2つのページでコンピューターアカウントとローカルコンピューターを選択します。

d. [OK]をクリックします。

e. [証明書(ローカルコンピューター)]>[個人]>[証明書]の順に選択し、インポートされたSSL証明書を探します。

f. インポートされた証明書を右クリックして[すべてのタスク]>[秘密キーの管理]の順に選択します。

g. [グループ名またはユーザー名][追加]をクリックします。

h. 前の手順でコピーしたSQLサービスアカウント名を入力します。

i. [フルコントロールを許可] オプションをクリアします。 デフォルトでは、サービスアカウントにはフルコントロールと読み取り権限のどちらもが付与されますが、秘密キーの読み取りだけが必要です。

j. MMCを閉じ、SQLサービスを開始します。

3. SQLサービスが正常に開始されたか確認します。

インターネットインフォメーションサービス(IIS)の前提条件

1. ルート証明書(base 64)をダウンロードします。

2. ルート証明書をIISサーバー上のデフォルトの場所( C:\inetpub\wwwroot)にコピーします。

3. デフォルサイトに対して[Authentication]チェックボックスをオンにします。

4. [Anonymous][enabled]に設定します。

5. [Enable report branding]チェックボックスをオンにします。

6. .cerがブロックされていないか確認します。

7. ローカルサーバーのInternt Explorerブラウザーで.cerの場所を参照します(http://localhost/certname.cer)。 ルート証明書テキストがブラウザーに表示されます。

8. ルート証明書がInternet Explorerブラウザーに表示されない場合、ASPがIISで有効化次のようにして確認します。

a. Server Managerを開きます。

b. [管理]>[役割と機能の追加]の順に移動します。

c. サーバーの役割で、[Webサーバー(IIS)][Webサーバー][アプリケーション開発]の順に展開して[ASP]を選択します。

d. [次へ]をクリックしてインストールを完了させます。

9. Internet Explorerを開いてhttp://localhost/cert.cerを参照します。

詳しくは、「Internet Information Services (IIS) 8.5」を参照してください。

注意

これを実行するには、CAのIISインスタンスを使用できます。 

初期FIPS構成中のルート証明書のインポート

コマンドラインコンソールで初めてXenMobileを構成するための手順を実行する場合、これらの設定を完了させてルート証明書をインポートする必要があります。 インストール手順については、「XenMobileのインストール」を参照してください。

  • FIPSの有効化:はい
  • ルート証明書のアップロード:はい
  • コピー(c)またはインポート(i):i
  • インポートするHTTP URLの入力:http://cert.cer
  • サーバー:
  • ポート:1433
  • ユーザー名:データベースを作成できるサービスアカウント(domain\username)。
  • パスワード:サービスアカウントのパスワード。
  • データベース名:選択した名前。