XenMobile Server

XenMobileでのFIPSの構成

XenMobileの米国の情報処理標準(FIPS:Federal Information Processing Standards)モードは、すべての暗号化操作に対してFIPS 140-2証明済みライブラリのみを使用して、米国政府のカスタマーをサポートします。XenMobile ServerをFIPSモードでインストールすると、すべてのXenMobileクライアントとサーバーのデータをFIPS 140-2に完全に準拠させることができます。このコンプライアンスは、静止データとやり取りされるデータに適用されます。

XenMobile ServerをFIPSモードでインストールする前に、次の前提条件を完了させます。

  • XenMobileデータベースには外部のSQL Server 2014を使用します。またSQL ServerをセキュアSSL通信用に構成する必要があります。SQL Serverへのセキュリティで保護されたSSL通信を構成する手順については、「データベース エンジンへの暗号化接続の有効化(SQL Server Configuration Manager)」を参照してください。

  • セキュアSSL通信を実行するには、SQL Serverに既知のCA(証明機関)からの信頼されるSSL証明書をインストールする必要があります。SQL Server 2014はワイルドカード証明書を受け付けることはできません。そのため、CitrixではSQL ServerのFQDN付きSSL証明書を要求することをお勧めします。

FIPSモードの構成

FIPSモードは、XenMobile Serverの初回セットアップ時にのみ有効にできます。インストールが完了したら、FIPSを有効にはできません。そのため、FIPSモードの使用を予定している場合は、XenMobile Serverを最初からFIPSモードでインストールする必要があります。XenMobileクラスタの場合、すべてのクラスタノードでFIPSが有効になっている必要があります。同一クラスタ内にFIPSと非FIPS XenMobile Serverを混在させることはできません。

実稼働用でないXenMobileコマンドラインインターフェイスには [Toggle FIPS mode] オプションがあります。このオプションは診断目的のための非実稼働環境用のもので、実稼働環境でのXenMobile Serverではサポートされません。

  1. 初期セットアップ時にFIPSモードを有効にします。

  2. SQL Server用のルートCA証明書をアップロードします。

  3. SQL Serverのサーバー名とポート、SQL Serverにログインするための資格情報、およびXenMobileに対して作成するデータベース名を指定します。

    注:

    SQL Serverにアクセスするには、SQLログオンまたはActive Directoryアカウントのいずれかを使用できますが、使用するログオン資格情報にはDBcreator役割が必要です。

  4. Active Directoryアカウントを使用するには、「ドメイン\ユーザー名」形式で資格情報を入力します。

  5. これらの手順が完了したら、XenMobileの初期セットアップを実行します。

FIPSモードの構成が成功したことを確認するには、XenMobileコマンドラインインターフェイスにログオンします。ログオンバナーに [In FIPS Compliant Mode] と表示されます。

証明書のインポート中

以下で、証明書をインポートしてXenMobile上でFIPSを構成する方法について説明します。

SQLの前提条件

  1. XenMobileからSQLインスタンスの接続をセキュリティで保護し、SQL Serverのバージョンは2012または2014が必要です。接続を保護するには、「Microsoft管理コンソールを使用してSQL ServerのインスタンスのSSL暗号化を有効にする方法」を参照してください。

  2. サービスが適切に再起動しない場合は、Services.mscを開いて次のようにチェックします。

    1. SQL Serverサービスで使用されたログオンアカウント情報をコピーします。

    2. SQL ServerでMMC.exeを開きます。

    3. ファイル]>[スナップインの追加と削除] の順に選択し、証明書アイテムをダブルクリックして証明書スナップインを追加します。ウィザードの2つのページでコンピューターアカウントとローカルコンピューターを選択します。

    4. [OK] をクリックします。

    5. [証明書(ローカルコンピューター)]>[個人]>[証明書] の順に選択し、インポートされたSSL証明書を探します。

    6. インポートされた証明書を右クリックして [すべてのタスク]>[秘密キーの管理] の順に選択します。

    7. [グループ名またはユーザー名] の下にある [追加] をクリックします。

    8. 前の手順でコピーしたSQLサービスアカウント名を入力します。

    9. [フルコントロールを許可] オプションをクリアします。デフォルトでは、サービスアカウントにはフルコントロールと読み取り権限のどちらもが付与されますが、秘密キーの読み取りだけが必要です。

    10. MMC を閉じてSQLサービスを開始します。

  3. SQLサービスが正常に開始されたか確認します。

インターネットインフォメーションサービス(IIS)の前提条件

  1. ルート証明書(base 64)をダウンロードします。

  2. ルート証明書をIISサーバー上のデフォルトサイト( C:\inetpub\wwwroot)にコピーします。

  3. デフォルサイトに対して [Authentication] チェックボックスをオンにします。

  4. [Anonymous][enabled] に設定します。

  5. [Failed Request Tracking] 規則チェックボックスをオンにします。

  6. .cerがブロックされていないか確認します。

  7. ローカルサーバーのWebブラウザーで.cerの場所を参照します(https://localhost/certname.cer)。ルート証明書テキストがブラウザーに表示されます。

  8. ルート証明書がWebブラウザーに表示されない場合、ASPがIISサーバーで有効化されていることを、次のようにして確認します。

    1. サーバーマネージャーを開きます。

    2. [Manage]>[Add Roles and Features] の順に移動します。

    3. サーバーの役割で、[Web Server (IIS)][Web Server][Application Development] の順に展開して [ASP] を選択します。

    4. [Next] をクリックしてインストールを完了させます。

  9. https://localhost/cert.cer」を参照します。

    詳しくは、「Web Server (IIS)」を参照してください。

    注:

    これを実行するには、CAのIISインスタンスを使用できます。

初期FIPS構成中のルート証明書のインポート

コマンドラインコンソールで初めてXenMobileを構成するための手順を実行する場合、これらの設定を完了させてルート証明書をインポートする必要があります。インストール手順について詳しくは、「XenMobileのインストール」を参照してください。

  • FIPSの有効化:はい
  • ルート証明書のアップロード:はい
  • コピー(c)またはインポート(i):i
  • インポートするHTTP URLを入力: https://<FQDN of IIS server>/cert.cer
  • サーバー: SQL ServerのFQDN
  • Port:1433
  • ユーザー名:データベースを作成できるサービスアカウント( domain\username )。
  • パスワード:サービスアカウントのパスワード。
  • データベース名:選択した名前。

モバイルデバイスでFIPSモードを有効にする

デフォルトでは、モバイルデバイスでFIPSモードは無効になっています。FIPSモードを有効にするには、[設定]>[クライアントプロパティ] の順に選択し、[FIPS モードの有効化] プロパティを編集して、 値をtrueに設定します。詳しくは、「クライアントプロパティ」を参照してください。

XenMobileでのFIPSの構成