XenMobileでのFIPSの構成

XenMobileの米国の情報処理標準(FIPS:Federal Information Processing Standards)モードは、すべての暗号化操作に対してFIPS 140-2証明済みライブラリのみを使用して、米国政府のカスタマーをサポートします。XenMobileサーバーをFIPSモードでインストールすると、すべてのXenMobileクライアントとサーバーのデータをFIPS 140-2に完全に準拠させることができます。このコンプライアンスは、静止データとやり取りされるデータに適用されます。

XenMobileサーバーをFIPSモードでインストールする前に、次の前提条件を完了させます。

  • XenMobileデータベースには外部のSQL Server 2012またはSQL Server 2014を使用します。またSQL ServerをセキュアSSL通信用に構成する必要があります。SQL Serverへの安全なSSL通信の構成については、「SQL Server Books Online」を参照してください。

  • セキュアSSL通信を実行するには、SQL ServerにSSL証明書をインストールする必要があります。SSL証明書は、商用CAの公開証明書または内部CAの自己署名証明書のいずれかにすることができます。SQL Server 2014はワイルドカード証明書を受け付けることはできません。そのため、SQL ServerのFQDN付きSSL証明書を要求することをお勧めします。

  • SQL Serverに自己署名証明書を使用する場合、自己署名証明書を発行したルートCA証明書を取得してください。ルートCA証明書は、インストール中にXenMobileサーバーにインポートされる必要があります。

FIPSモードの構成

FIPSモードは、XenMobileサーバーの初回セットアップ時にのみ有効にできます。インストールが完了したら、FIPSを有効にはできません。そのため、FIPSモードの使用を予定している場合は、XenMobileサーバーを最初からFIPSモードでインストールする必要があります。また、XenMobileクラスタの場合、すべてのクラスタノードでFIPSが有効になっている必要があります。同一クラスタ内にFIPSと非FIPS XenMobileサーバーを混在させることはできません。

本番用でないXenMobileコマンドラインインターフェイスには [FIPSモードの切り替え] オプションがあります。このオプションは診断目的のための非実稼働環境用のもので、実稼働環境でのXenMobileサーバーではサポートされません。

  1. 初期セットアップ時にFIPSモードを有効にします。

  2. SQL Server用のルートCA証明書をアップロードします。SQL Serverで公開証明書ではなく自己署名SSL証明書を使用した場合は、このオプションについては [Yes] を選択します。次に、以下のいずれかを行います。

    1. CA証明書をコピーして貼り付けます。

    2. CA証明書をインポートします。CA証明書をインポートするには、XenMobileサーバーからHTTP URLを介してアクセスできるWebサイトに証明書を送信する必要があります。詳しくは、「XenMobileへの証明書のアップロード」を参照してください。

  3. SQL Serverのサーバー名とポート、SQL Serverにログインするための資格情報、およびXenMobileに対して作成するデータベース名を指定します。

    注:

    SQL Serverにアクセスするには、SQLログオンまたはActive Directoryアカウントのいずれかを使用できますが、使用するログオン資格情報にはDBcreator役割が必要です。

  4. Active Directoryアカウントを使用するには、「ドメイン\ユーザー名」形式で資格情報を入力します。

  5. これらの手順が完了したら、XenMobileの初期セットアップを実行します。

FIPSモードの構成が成功したことを確認するには、XenMobileコマンドラインインターフェイスにログオンします。ログオンバナーに [In FIPS Compliant Mode] と表示されます。

証明書のインポート中

以下で、VMwareハイパーバイザーを使用する場合に必要となる証明書をインポートしてXenMobile上でFIPSを構成する方法について説明します。

SQLの前提条件

  1. XenMobileからSQLインスタンスの接続をセキュリティで保護し、SQL Serverのバージョンは2012または2014が必要です。接続を保護するには、「Microsoft管理コンソールを使用してSQL ServerのインスタンスのSSL暗号化を有効にする方法」を参照してください。

  2. サービスが適切に再起動しない場合は、Services.mscを開いて次のようにチェックします。

    1. SQL Serverサービスで使用されたログオンアカウント情報をコピーします。

    2. SQL ServerでMMC.exeを開きます。

    3. [ファイル]>[スナップインの追加と削除] の順に選択し、証明書アイテムをダブルクリックして証明書スナップインを追加します。ウィザードの2つのページでコンピューターアカウントとローカルコンピューターを選択します。

    4. [OK] をクリックします。

    5. [証明書(ローカルコンピューター)]>[個人]>[証明書] の順に選択し、インポートされたSSL証明書を探します。

    6. インポートされた証明書を右クリックして [すべてのタスク]>[秘密キーの管理] の順に選択します。

    7. [グループ名またはユーザー名] の下にある [追加] をクリックします。

    8. 前の手順でコピーしたSQLサービスアカウント名を入力します。

    9. [フルコントロールを許可] オプションをクリアします。デフォルトでは、サービスアカウントにはフルコントロールと読み取り権限のどちらもが付与されますが、秘密キーの読み取りだけが必要です。

    10. MMC を閉じてSQLサービスを開始します。

  3. SQLサービスが正常に開始されたか確認します。

インターネットインフォメーションサービス(IIS)の前提条件

  1. ルート証明書(base 64)をダウンロードします。

  2. ルート証明書をIISサーバー上のデフォルトサイト( C:\inetpub\wwwroot)にコピーします。

  3. デフォルサイトに対して [Authentication] チェックボックスをオンにします。

  4. [Anonymous][enabled] に設定します。

  5. [Failed Request Tracking] 規則チェックボックスをオンにします。

  6. .cerがブロックされていないか確認します。

  7. ローカルサーバーのInternt Explorerブラウザーで.cerの場所を参照します(https://localhost/certname.cer)。ルート証明書テキストがブラウザーに表示されます。

  8. ルート証明書がInternet Explorerブラウザーに表示されない場合、ASPがIISサーバーで有効化されていることを、次のようにして確認します。

    1. サーバーマネージャーを開きます。

    2. [管理]>[役割と機能の追加] の順に移動します。

    3. サーバーの役割で、[Webサーバー(IIS)][Webサーバー][アプリケーション開発] の順に展開して [ASP] を選択します。

    4. [Next] をクリックしてインストールを完了させます。

  9. Internet Explorerを開いてhttps://localhost/cert.cerを参照します。

    詳しくは、「Web Server (IIS)」を参照してください。

    注:

    これを実行するには、CAのIISインスタンスを使用できます。

初期FIPS構成中のルート証明書のインポート

コマンドラインコンソールで初めてXenMobileを構成するための手順を実行する場合、これらの設定を完了させてルート証明書をインポートする必要があります。インストール手順について詳しくは、「XenMobileのインストール」を参照してください。

  • FIPSの有効化:はい
  • ルート証明書のアップロード:はい
  • コピー(c)またはインポート(i):i
  • インポートするHTTP URLを入力: https://<FQDN of IIS server>/cert.cer
  • サーバー: *SQL ServerのFQDN *
  • Port:1433
  • ユーザー名:データベースを作成できるサービスアカウント( domain\username )。
  • パスワード:サービスアカウントのパスワード。
  • データベース名:選択した名前。

モバイルデバイスでFIPSモードを有効にする

デフォルトでは、モバイルデバイスでFIPSモードは無効になっています。FIPSモードを有効にするには、[設定]>[クライアント プロパティ] の順に選択し、[FIPS モードの有効化] プロパティを編集して、 値をtrueに設定します。詳しくは、「クライアントプロパティ」を参照してください。