Product Documentation

Configuração do modo FIPS com o XenMobile

Oct 06, 2016

O modo Federal Information Processing Standard (FIPS) no XenMobile é compatível com clientes do governo federal dos EUA mediante a configuração do servidor para usar somente bibliotecas de certificado FIPS 140-2 para todas as operações de criptografia. Instalar o servidor XenMobile com o modo FIPS garante que todos os dados em repouso e os dados em trânsito do cliente e do servidor XenMobile sejam totalmente compatíveis com o FIPS 140-2.

Antes de instalar um Servidor XenMobile no modo FIPS, você precisa concluir os pré-requisitos a seguir.

  • Você deve usar um SQL Server 2012 ou 2014 externo para o banco de dados do XenMobile. O SQL Server também deve ser configurado para comunicação SSL segura. Para obter instruções sobre como configurar a comunicação SSL segura com o SQL Server, consulte os Manuais online sobre o SQL Server.
  • A comunicação SSL segura exige que um certificado SSL seja instalado no seu SQL Server. O certificado SSL pode ser um certificado público de uma AC comercial ou um certificado autoassinado de uma AC interna. Observe que o SQL Server 2014 não pode aceitar um certificado curinga. A Citrix recomenda, portanto, que você solicite um certificado SSL com o FQDN do SQL Server.
  • Se você usar um certificado autoassinado para o SQL Server, precisará de uma cópia do certificado de AC raiz que emitiu o certificado autoassinado. O certificado de AC raiz deve ser importado para o servidor XenMobile durante a instalação.

Configuração do modo FIPS

Você pode ativar o modo FIPS somente durante a instalação inicial do servidor XenMobile. Não é possível ativar o modo FIPS após a conclusão da instalação. Portanto, se você planeja usar o modo FIPS, deverá instalar o servidor XenMobile com o modo FIPS do início. Além disso, se você tiver um cluster do XenMobile, todos os nós do cluster deverão ser ativados para FIPS; você não pode ter uma mistura de servidores XenMobile FIPS e não FIPS no mesmo cluster.

Há uma opção Toggle FIPS mode na interface de linha de comando do XenMobile que não se destina ao uso em produção. Essa opção se destina ao uso diagnóstico e não de produção, e não é compatível em um servidor XenMobile de produção.

1. Durante a instalação inicial, ative FIPS mode.

2. Carregue o certificado de AC raiz para o SQL Server. Se você tiver usando um certificado SSL autoassinado em vez de um certificado público no seu SQL Server, selecione Yes para essa opção e siga um dos seguintes procedimentos:

a. Copie e cole o certificado de AC.

b. Importe o certificado de AC. Para importar o certificado de AC, você deve publicá-lo em um site que possa ser acessado do servidor XenMobile usando uma URL HTTP. Para obter mais detalhes, consulte a seção Importando certificados mais adiante neste artigo.

3. Especifique o nome do servidor e a porta do SQL Server, as credenciais de login no SQL Server e o nome do banco de dados a ser criado para o XenMobile.

Observação: você pode usar um login SQL ou uma conta do Active Directory para acessar o SQL Server, mas o login usado deve ter a função DBcreator.

4. Para usar uma conta do Active Directory, insira as credenciais no formato domínio\nome do usuário.

5. Depois de concluir essas etapas, prossiga com a instalação inicial do XenMobile.

Para confirmar que a configuração do modo FIPS foi bem-sucedida, faça login na interface de linha de comando do XenMobile. A frase In FIPS Compliant Mode é exibida na faixa de login.

Importando certificados

O procedimento a seguir descreve como configurar o modo FIPS no XenMobile importando o certificado, que é necessário quando você usa um hipervisor VMware.  

Pré-requisitos do SQL

1. A conexão com a instância do SQL do XenMobile precisa ser segura e a versão do SQL Server deve ser 2012 ou 2014. Para proteger a conexão, consulte Como ativar a criptografia SSL de uma instância do SQL Server usando o Console de Gerenciamento Microsoft.

2. Se o serviço não for reiniciado corretamente, verifique o seguinte: abra Services.msc.

a. Copie as informações de conta de login usadas para o serviço do SQL Server.

b. Abra MMC.exe no SQL Server.

c. Vá até File > Add/Remove Snap-in e clique duas vezes no item de certificados para adicionar o snap-in. Selecione a conta de computador e o computador local nas duas páginas do assistente.

d. Clique em OK.

e. Expanda Certificates (Local Computer) > Personal > Certificados e localize o certificado SSL importado.

f. Clique com o botão direito do mouse no certificado importado (selecionado no SQL Server Configuration Manager) e clique em All Tasks > Manage Private Keys.

g. Em Group or User names, clique em Add.

h. Insira o nome da conta de serviço do SQL que você copiou na etapa anterior.

i. Limpe a opção Allow Full Control. Por padrão, as permissões Controle total e Leitura serão fornecidas à conta de serviço, mas ela precisa somente conseguir ler a chave privada.

j. Feche o MMC e inicie o serviço SQL.

3. Verifique se o serviço SQL foi iniciado corretamente.

Pré-requisitos dos Serviços de Informações da Internet (IIS)

1. Baixe o rootcert (base 64).

2. Copie o rootcert para o site padrão no servidor IIS, C:\inetpub\wwwroot.

3. Marque a caixa de seleção Authentication do site padrão.

4. Defina Anonymous como enabled.

5. Marque a caixa de seleção de regras Failed Request Tracking.

6. Verifique se .cer está bloqueado.

7. Navegue até a localização do .cer em um navegador Internet Explorer do servidor local, http://localhost/certname.cer. O texto do certificado raiz deve ser exibido no navegador.

8. Se o certificado raiz não for exibido no navegador Internet Explorer, verifique se o ASP está ativado no servidor IIS como se segue.

a. Abra o Gerenciador de Servidores.

b. Navegue até o assistente em Gerenciar > Adicionar Funções e Recursos.

c. Nas funções de servidor, expanda Servidor Web (IIS), expanda Servidor Web, expanda Desenvolvimento de Aplicativo e selecione ASP.

d. Clique em Avançar até a conclusão da instalação.

9. Abra o Internet Explorer e vá até http://localhost/cert.cer.

Para obter mais informações, consulte Serviços de Informações da Internet (IIS) 8.5.

Nota

Você pode usar a instância do IIS da AC para este procedimento.

Importando o certificado raiz durante configuração inicial do modo FIPS

Quando você concluir as etapas para configurar o XenMobile pela primeira vez no console de linha de comando, deverá concluir estas configurações para importar o certificado raiz. Para obter detalhes sobre as etapas de instalação, consulte Instalação do XenMobile.

  • Enable FIPS: Yes
  • Upload Root Certificate: Yes
  • Copy(c) or Import(i): i
  • Enter HTTP URL to import: http://FQDN do servidor IIS/cert.cer
  • Server: FQDN do SQL Server
  • Port: 1433
  • User name: a conta de serviço que tem a capacidade de criar o banco de dados (domínio\nome do usuário).
  • Password: a senha da conta de serviço.
  • Database Name: esse é um nome que você escolher.