XenMobile Server

XenMobile을 사용하여 FIPS 구성

XenMobile의 FIPS(Federal Information Processing Standard) 모드는 모든 암호화 작업에 FIPS 140-2 인증 라이브러리만 사용하여 미국 연방 정부 고객을 지원합니다. FIPS 모드를 사용하여 XenMobile Server를 설치하면 XenMobile 클라이언트와 서버의 모든 데이터가 FIPS 140-2를 완벽하게 준수합니다. 이러한 준수는 저장된 데이터와 전송 중 데이터에 적용됩니다.

FIPS 모드로 XenMobile Server를 설치하기 전에 다음과 같은 사전 요구 사항을 충족합니다.

  • XenMobile 데이터베이스에 외부 SQL Server 2014를 사용합니다. 또한 보안 SSL 통신을 사용하도록 SQL Server를 구성해야 합니다. SQL Server에 대한 보안 SSL 통신을 구성하는 방법에 대한 자세한 내용은 데이터베이스 엔진에 대한 암호화된 연결 사용(SQL Server Configuration Manager)을 참조하십시오.

  • 보안 SSL 통신을 사용하려면 SQL Server에 잘 알려진 CA(인증 기관)의 신뢰할 수 있는 SSL 인증서를 설치해야 합니다. SQL Server 2014에는 와일드카드 인증서를 사용할 수 없습니다. 따라서 SQL Server FQDN을 사용하여 SSL 인증서를 요청하는 것이 좋습니다.

FIPS 모드 구성

FIPS 모드는 XenMobile Server를 처음 설치하는 동안에만 사용하도록 설정할 수 있습니다. 설치가 완료된 후에는 FIPS를 사용하도록 설정할 수 없습니다. 따라서 FIPS 모드를 사용하려는 경우 처음부터 FIPS 모드로 XenMobile Server를 설치해야 합니다. 또한 XenMobile 클러스터의 경우 모든 클러스터 노드에서 FIPS를 사용해야 합니다. FIPS와 비 FIPS XenMobile Server를 동일한 클러스터에 혼합하여 배치할 수 없습니다.

XenMobile 명령줄 인터페이스에 Toggle FIPS mode(FIPS 모드 전환)가 있지만 이는 프로덕션 용도가 아닙니다. 이 옵션은 비프로덕션 및 진단 용도로 제공되며 프로덕션 XenMobile Server에서 지원되지 않습니다.

  1. 초기 설정 시 FIPS 모드를 사용하도록 설정합니다.

  2. SQL Server에 대한 루트 CA 인증서를 업로드합니다.

  3. SQL Server의 서버 이름 및 포트, SQL Server에 로그인하는 데 사용할 자격 증명, XenMobile에 대해 만들 데이터베이스 이름을 지정합니다.

    참고:

    SQL 로그온 또는 Active Directory 계정을 사용하여 SQL Server에 액세스할 수 있지만 사용하는 로그온 계정이 DBcreator 역할을 보유해야 합니다.

  4. Active Directory 계정을 사용하려면 도메인\사용자 이름 형식으로 자격 증명을 입력합니다.

  5. 이러한 단계를 완료한 후에는 XenMobile 초기 설정을 진행합니다.

FIPS 모드가 성공적으로 구성되었는지 확인하려면 XenMobile 명령줄 인터페이스에 로그온합니다. 로그온 배너에 In FIPS Compliant Mode(FIPS 준수 모드)가 표시됩니다.

인증서 가져오기

다음 절차는 인증서를 가져와서 XenMobile에서 FIPS를 구성하는 방법을 설명합니다.

SQL 사전 요구 사항

  1. XenMobile에서 SQL 인스턴스로의 연결은 보안되어야 하며 SQL Server 2012 또는 SQL Server 2014 버전이어야 합니다. 연결 보안에 대한 자세한 내용은 Microsoft Management Console을 사용하여 SQL Server 인스턴스에 대해 SSL 암호화를 활성화하는 방법을 참조하십시오.

  2. 서비스가 제대로 다시 시작되지 않으면 다음을 확인합니다. Services.msc를 엽니다.

    1. SQL Server 서비스에 사용되는 로그온 계정 정보를 복사합니다.

    2. SQL Server에서 MMC.exe를 엽니다.

    3. 파일 > 스냅인 추가/제거로 이동한 후 해당 인증서 항목을 두 번 클릭하여 인증서 스냅인을 추가합니다. 마법사의 두 페이지에서 컴퓨터 계정과 로컬 컴퓨터를 선택합니다.

    4. 확인을 클릭합니다.

    5. 인증서(로컬 컴퓨터) > 개인 > 인증서를 확장하여 가져온 SSL 인증서를 찾습니다.

    6. 가져온 인증서를 마우스 오른쪽 단추로 클릭한 후(SQL Server 구성 관리자에서 선택) 모든 작업 > 개인 키 관리를 클릭합니다.

    7. 그룹 또는 사용자 이름 아래에서 추가를 클릭합니다.

    8. 앞 단계에서 복사한 SQL 서비스 계정 이름을 입력합니다.

    9. 모든 권한 허용 옵션을 선택 취소합니다. 기본적으로 서비스 계정은 모든 권한과 읽기 권한을 둘 다 갖지만 개인 키를 읽는 권한만 필요합니다.

    10. MMC를 닫고 SQL 서비스를 시작합니다.

  3. SQL 서비스가 제대로 시작되는지 확인합니다.

IIS(인터넷 정보 서비스) 사전 요구 사항

  1. 루트 인증서(base 64)를 다운로드합니다.

  2. 루트 인증서를 IIS 서버의 기본 사이트(C:\inetpub\wwwroot)로 복사합니다.

  3. 기본 사이트에 대해 인증 확인란을 선택합니다.

  4. 익명사용으로 설정합니다.

  5. 실패한 요청 추적 규칙 확인란을 선택합니다.

  6. .cer이 차단되지 않았는지 확인합니다.

  7. 로컬 서버의 웹 브라우저에서 .cer 위치로 이동합니다(https://localhost/certname.cer). 루트 인증서 텍스트가 브라우저에 나타납니다.

  8. 사용 중인 웹 브라우저에 루트 인증서가 표시되지 않을 경우 다음과 같이 IIS 서버에서 ASP를 사용하도록 설정되어 있는지 확인합니다.

    1. 서버 관리자를 엽니다.

    2. 관리 > 역할 및 기능 추가에서 마법사로 이동합니다.

    3. 서버 역할에서 웹 서버(IIS), 웹 서버, 응용 프로그램 개발을 차례로 확장한 후 ASP를 선택합니다.

    4. 설치가 완료될 때까지 다음을 클릭합니다.

  9. https://localhost/cert.cer로 이동합니다.

    자세한 내용은 웹 서버(IIS)를 참조하십시오.

    참고:

    이 절차에 CA의 IIS 인스턴스를 사용할 수 있습니다.

초기 FIPS 구성 시 루트 인증서 가져오기

명령줄 콘솔에서 처음으로 XenMobile 구성 단계를 완료하는 경우 다음 설정을 완료하여 루트 인증서를 가져와야 합니다. 설치 단계에 대한 자세한 내용은 XenMobile 설치를 참조하십시오.

  • Enable FIPS: Yes
  • Upload Root Certificate: Yes
  • Copy(c) or Import(i): i
  • Enter HTTP URL to import: https://<FQDN of IIS server>/cert.cer
  • Server: SQL Server의 FQDN
  • Port: 1433
  • User name: 데이터베이스를 만들 수 있는 서비스 계정(domain\username)
  • Password: 서비스 계정의 암호
  • Database Name: 원하는 이름

모바일 장치에서 FIPS 모드 사용

기본적으로 모바일 장치에서는 FIPS 모드가 사용되지 않습니다. FIPS 모드를 사용하려면 설정 > 클라이언트 속성으로 이동하고 FIPS 모드 사용 속성을 편집하여 값을 true로 설정합니다. 자세한 내용은 클라이언트 속성을 참조하십시오.

XenMobile을 사용하여 FIPS 구성