Product Documentation

Configurar o modo FIPS com o XenMobile

Nota:

Os componentes do lado do servidor do XenMobile Service não são compatíveis com FIPS 140-2.

O modo FIPS (Federal Information Processing Standards) no XenMobile dá suporte a clientes do governo federal dos EUA, usando somente bibliotecas de certificado FIPS 140-2 para todas as operações de criptografia. Instalar o XenMobile Server com o modo FIPS garante que todos os dados do cliente e do servidor XenMobile sejam totalmente compatíveis com o FIPS 140-2. Essa conformidade se aplica aos dados em repouso e aos dados em trânsito.

Antes de instalar um XenMobile Server no modo FIPS, conclua os pré-requisitos a seguir.

  • Use um SQL Server 2012 ou SQL Server 2014 externo para o banco de dados do XenMobile. O SQL Server também deve ser configurado para comunicação SSL segura. Para obter instruções sobre como configurar a comunicação SSL segura com o SQL Server, consulte os Manuais online sobre o SQL Server.

  • A comunicação SSL segura exige que você instale um certificado SSL no seu SQL Server. O certificado SSL pode ser um certificado público de uma AC comercial ou um certificado autoassinado de uma AC interna. Atenção, o SQL Server 2014 não pode aceitar um certificado curinga. A Citrix recomenda, portanto, que você solicite um certificado SSL com o FQDN do SQL Server.

  • Se você usar um certificado autoassinado para o SQL Server, obtenha uma cópia do certificado de CA raiz que emitiu o seu certificado autoassinado. Você importa o certificado da CA raiz para o XenMobile Server durante a instalação.

Configuração do modo FIPS

Você pode ativar o modo FIPS somente durante a instalação inicial do XenMobile Server. Não é possível ativar o modo FIPS após a conclusão da instalação. Portanto, se você planeja usar o modo FIPS, deverá instalar o XenMobile Server com o modo FIPS do início. Além disso, para clusters do XenMobile, todos os nós do cluster devem ter o FIPS ativado. Você não pode ter uma combinação de XenMobile Servers FIPS e não FIPS no mesmo cluster.

Há uma opção Toggle FIPS mode na interface de linha de comando do XenMobile que não se destina ao uso em produção. Essa opção se destina ao uso diagnóstico e não de produção, e não é compatível em um XenMobile Server de produção.

  1. Durante a instalação inicial, ative FIPS mode.

  2. Carregue o certificado de AC raiz para o SQL Server. Se você estiver usando um certificado SSL autoassinado em vez de um certificado público no seu SQL Server, selecione Sim para essa opção. Em seguida, você pode optar por um dos seguintes procedimentos:

    1. Copie e cole o certificado de AC.

    2. Importe o certificado de AC. Para importar o certificado de AC, você deve publicá-lo em um site que possa ser acessado do XenMobile Server usando uma URL HTTP. Para obter detalhes, consulte Upload do certificado no XenMobile.

  3. Especifique o nome do servidor e a porta do SQL Server, as credenciais de login no SQL Server e o nome do banco de dados a ser criado para o XenMobile.

    Nota:

    você pode usar um login SQL ou uma conta do Active Directory para acessar o SQL Server, mas o login usado deve ter a função DBcreator.

  4. Para usar uma conta do Active Directory, insira as credenciais no formato domínio\nome do usuário.

  5. Depois de concluir essas etapas, prossiga com a instalação inicial do XenMobile.

Para confirmar que a configuração do modo FIPS foi bem-sucedida, faça login na interface de linha de comando do XenMobile. A frase In FIPS Compliant Mode é exibida na faixa de login.

Importando certificados

O procedimento a seguir descreve como configurar o modo FIPS no XenMobile importando o certificado, que é necessário quando você usa um hipervisor VMware.

Pré-requisitos do SQL

  1. A conexão com a instância do SQL do XenMobile precisa ser segura, e a versão do SQL Server deve ser 2012 ou 2014. Para proteger a conexão, consulte Como ativar a criptografia SSL de uma instância do SQL Server usando o Console de Gerenciamento Microsoft.

  2. Se o serviço não for reiniciado corretamente, verifique o seguinte: abra Services.msc.

    1. Copie as informações de conta de login usadas para o serviço do SQL Server.

    2. Abra MMC.exe no SQL Server.

    3. Vá até File > Add/Remove Snap-in e clique duas vezes no item de certificados para adicionar o snap-in dos certificados. Selecione a conta de computador e o computador local nas duas páginas do assistente.

    4. Clique em OK.

    5. Expanda Certificates (Local Computer) > Personal > Certificados e localize o certificado SSL importado.

    6. Clique com o botão direito do mouse no certificado importado (selecionado no SQL Server Configuration Manager) e clique em All Tasks > Manage Private Keys.

    7. Em Group or User names, clique em Add.

    8. Insira o nome da conta de serviço do SQL que você copiou na etapa anterior.

    9. Limpe a opção Allow Full Control. Por padrão, as permissões Controle total e Leitura serão fornecidas à conta de serviço, mas ela precisa somente conseguir ler a chave privada.

    10. Feche o MMC e inicie o serviço SQL.

  3. Verifique se o serviço SQL foi iniciado corretamente.

Pré-requisitos dos Serviços de Informações da Internet (IIS)

  1. Baixe o certificado raiz (base 64).

  2. Copie o certificado raiz para o site padrão no servidor IIS, C:\inetpub\wwwroot.

  3. Marque a caixa de seleção Authentication do site padrão.

  4. Defina Anonymous como enabled.

  5. Marque a caixa de seleção de regras Failed Request Tracking.

  6. O arquivo .cer não pode estar bloqueado.

  7. Navegue até a localização do .cer em um navegador Internet Explorer do servidor local, http://localhost/certname.cer. O texto do certificado raiz é exibido no navegador.

  8. Se o certificado raiz não for exibido no navegador Internet Explorer, verifique se o ASP está ativado no servidor IIS como se segue.

    1. Abra o Gerenciador de Servidores.

    2. Navegue até o assistente em Gerenciar > Adicionar Funções e Recursos.

    3. Nas funções de servidor, expanda Servidor Web (IIS), expanda Servidor Web, expanda Desenvolvimento de aplicativo e selecione ASP.

    4. Clique em Avançar até a conclusão da instalação.

  9. Abra o Internet Explorer e navegue até http://localhost/cert.cer.

    Para obter mais informações, consulte Servidor Web (IIS).

    Nota:

    Você pode usar a instância do IIS da CA para este procedimento.

Importando o certificado raiz durante configuração inicial do modo FIPS

Quando você concluir as etapas para configurar o XenMobile pela primeira vez no console de linha de comando, deverá concluir estas configurações para importar o certificado raiz. Para obter detalhes sobre as etapas de instalação, consulte Instalação do XenMobile.

  • Ativar FIPS: Sim
  • Carregar certificado raiz: Sim
  • Copiar(c) ou Importar(i): i
  • Digite o URL HTTP para importar: http://<FQDN of IIS server>/cert.cer
  • Server: FQDN do SQL Server
  • Port: 1433
  • User name: a conta de serviço que pode criar o banco de dados (domain\username).
  • Password: a senha da conta de serviço.
  • Database: um nome de sua escolha.

Ativar o modo FIPS em dispositivos móveis

Por padrão, o modo FIPS está desativado em dispositivos móveis. Para ativar o modo FIPS, vá para Configurações > Propriedades do cliente, edite a propriedade Ativar o modo FIPS e defina o valor como true. Para obter mais informações, consulte Propriedades do cliente.