Product Documentation

XenMobile를 사용하여 FIPS 구성

Feb 21, 2018

메모

XenMobile Service의 서버 측 구성 요소는 FIPS 140-2를 준수하지 않습니다.

XenMobile에서 FIPS(Federal Information Processing Standards) 모드는 모든 암호화 작업에 FIPS 140-2 인증 라이브러리만 사용하도록 서버를 구성함으로써 미국 연방 정부 고객을 지원합니다. FIPS 모드를 사용하여 XenMobile 서버를 설치하면 XenMobile 클라이언트와 서버 모두에서 저장된 모든 데이터와 전송 중인 데이터가 FIPS 140-2를 완벽하게 준수합니다.

FIPS 모드로 XenMobile Server를 설치하기 전에 다음과 같은 사전 요구 사항을 충족해야 합니다.

  • XenMobile 데이터베이스에 외부 SQL Server 2012 또는 SQL Server 2014를 사용해야 합니다. 또한 보안 SSL 통신을 사용하도록 SQL Server를 구성해야 합니다. SQL Server에 대한 보안 SSL 통신을 구성하는 지침은 SQL Server 온라인 설명서를 참조하십시오.
  • 보안 SSL 통신을 사용하려면 SQL Server에 SSL 인증서를 설치해야 합니다. SSL 인증서는 상용 CA의 공용 인증서이거나 내부 CA의 자체 서명된 인증서가 될 수 있습니다. SQL Server 2014에는 와일드카드 인증서를 사용할 수 없습니다. 따라서 SQL Server FQDN을 사용하여 SSL 인증서를 요청하는 것이 좋습니다.
  • SQL Server에 대한 자체 서명된 인증서를 사용하는 경우 자체 서명된 인증서를 발급한 루트 CA 인증서의 복사본이 필요합니다. 설치하는 동안 루트 CA 인증서를 XenMobile 서버로 가져와야 합니다.

FIPS 모드 구성

FIPS 모드는 XenMobile 서버를 처음 설치하는 동안에만 설정할 수 있습니다. 설치가 완료된 후에는 FIPS를 사용하도록 설정할 수 없습니다. 따라서 FIPS 모드를 사용하려는 경우 처음부터 FIPS 모드로 XenMobile 서버를 설치해야 합니다. 또한 XenMobile 클러스터가 있는 경우 모든 클러스터 노드에 FIPS를 사용하도록 설정해야 합니다. 동일한 클러스터에서 FIPS와 비 FIPS XenMobile 서버를 함께 사용할 수 없습니다.

XenMobile 명령줄 인터페이스에 Toggle FIPS mode(FIPS 모드 전환)가 있지만 이는 프로덕션 용도가 아닙니다. 이 옵션은 비프로덕션 및 진단 용도로 제공되며 프로덕션 XenMobile 서버에서 지원되지 않습니다.

1. 초기 설정 시 FIPS 모드를 사용하도록 설정합니다.

2. SQL Server에 대한 루트 CA 인증서를 업로드합니다. SQL Server에서 공용 인증서가 아닌 자체 서명된 SSL 인증서를 사용한 경우 이 옵션에 를 선택한 후 다음 중 하나를 수행합니다.

a. CA 인증서를 복사하여 붙여 넣습니다.

b. CA 인증서를 가져옵니다. CA 인증서를 가져오려면 XenMobile 서버에서 HTTP URL을 통해 액세스할 수 있는 웹 사이트에 인증서를 게시해야 합니다. 자세한 내용은 XenMobile에 인증서 업로드를 참조하십시오.

3. SQL Server의 서버 이름 및 포트, SQL Server에 로그인하는 데 사용할 자격 증명, XenMobile에 대해 만들 데이터베이스 이름을 지정합니다.

참고: SQL 로그온 또는 Active Directory 계정을 사용하여 SQL Server에 액세스할 수 있지만 사용하는 로그온 계정이 DBcreator 역할을 가져야 합니다.

4. Active Directory 계정을 사용하려면 도메인\사용자 이름 형식으로 자격 증명을 입력합니다.

5. 이러한 단계를 완료한 후에는 XenMobile 초기 설정을 진행합니다.

FIPS 모드가 성공적으로 구성되었는지 확인하려면 XenMobile 명령줄 인터페이스에 로그온합니다. 로그온 배너에 In FIPS Compliant Mode(FIPS 준수 모드)가 표시됩니다.

인증서 가져오기

다음 절차는 인증서를 가져와 XenMobile에서 FIPS를 구성하는 방법을 설명합니다. 이는 VMware 하이퍼바이저를 사용하는 데 필요합니다.

SQL 사전 요구 사항

1. XenMobile에서 SQL 인스턴스로의 연결은 보안되어야 하며 SQL Server 2012 또는 SQL Server 2014 버전이어야 합니다. 연결 보안에 대한 자세한 내용은 Microsoft Management Console을 사용하여 SQL Server 인스턴스에 대해 SSL 암호화를 활성화하는 방법을 참조하십시오.

2. 서비스가 제대로 다시 시작되지 않으면 다음을 확인합니다. Services.msc를 엽니다.

a. SQL Server 서비스에 사용되는 로그온 계정 정보를 복사합니다.

b. SQL Server에서 MMC.exe를 엽니다.

c. 파일 > 스냅인 추가/제거로 이동한 후 해당 인증서 항목을 두 번 클릭하여 인증서 스냅인을 추가합니다. 마법사의 두 페이지에서 컴퓨터 계정과 로컬 컴퓨터를 선택합니다.

d. 확인을 클릭합니다.

e. 인증서(로컬 컴퓨터) > 개인 > 인증서를 확장하여 가져온 SSL 인증서를 찾습니다.

f. 가져온 인증서를 마우스 오른쪽 단추으로 클릭한 후(SQL Server 구성 관리자에서 선택) 모든 작업 > 개인 키 관리를 클릭합니다.

g. 그룹 또는 사용자 이름 아래에서 추가를 클릭합니다.

h. 앞 단계에서 복사한 SQL 서비스 계정 이름을 입력합니다.

i. 모든 권한 허용 옵션을 선택 취소합니다. 기본적으로 서비스 계정은 모든 권한과 읽기 권한을 둘 다 갖지만 개인 키를 읽는 권한만 필요합니다.

j. MMC를 닫고 SQL 서비스를 시작합니다.

3. SQL 서비스가 제대로 시작되는지 확인합니다.

IIS(인터넷 정보 서비스) 사전 요구 사항

1. rootcert(base 64)를 다운로드합니다.

2. rootcert를 IIS 서버의 기본 사이트(C:\inetpub\wwwroot)로 복사합니다.

3. 기본 사이트에 대해 인증 확인란을 선택합니다.

4. 익명사용으로 설정합니다.

5. 실패한 요청 추적 규칙 확인란을 선택합니다.

6. .cer이 차단되지 않았는지 확인합니다.

7. 로컬 서버의 Internet Explorer 브라우저에서 .cer 위치(http://localhost/certname.cer)로 이동합니다. 루트 인증서 텍스트가 브라우저에 표시될 것입니다.

8. Internet Explorer 브라우저에 루트 인증서가 표시되지 않을 경우 다음과 같이 IIS 서버에서 ASP를 사용하도록 설정되어 있는지 확인합니다.

a. 서버 관리자를 엽니다.

b. 관리 > 역할 및 기능 추가에서 마법사로 이동합니다.

c. 서버 역할에서 웹 서버(IIS), 웹 서버, 응용 프로그램 개발을 차례로 확장한 후 ASP를 선택합니다.

d. 설치가 완료될 때까지 다음을 클릭합니다.

9. Internet Explorer를 열고 http://localhost/cert.cer로 이동합니다.

자세한 내용은 웹 서버(IIS)를 참조하십시오.

메모

이 절차에 CA의 IIS 인스턴스를 사용할 수 있습니다.

초기 FIPS 구성 시 루트 인증서 가져오기

명령줄 콘솔에서 처음으로 XenMobile 구성 단계를 완료하는 경우 다음 설정을 완료하여 루트 인증서를 가져와야 합니다. 설치 단계에 대한 자세한 내용은 XenMobile 설치를 참조하십시오.

  • Enable FIPS: Yes
  • Upload Root Certificate: Yes
  • Copy(c) or Import(i): i
  • Enter HTTP URL to import: http://IIS 서버의 FQDN/cert.cer
  • Server: SQL Server의 FQDN
  • Port: 1433
  • User name: 데이터베이스를 만들 수 있는 권한을 가진 서비스 계정(도메인\사용자 이름)
  • Password: 서비스 계정의 암호
  • Database Name: 선택한 이름

모바일 장치에서 FIPS 모드 사용

기본적으로 모바일 장치에서는 FIPS 모드가 사용되지 않습니다. FIPS 모드를 사용하려면 설정 > 클라이언트 속성으로 이동하고 FIPS 모드 사용 속성을 편집하여 값을 true로 설정합니다. 자세한 내용은 클라이언트 속성을 참조하십시오.