XenMobile Server

Configurar o modo FIPS com o XenMobile

O modo FIPS (Federal Information Processing Standards) no XenMobile dá suporte a clientes do governo federal dos EUA, usando somente bibliotecas de certificado FIPS 140-2 para todas as operações de criptografia. Instalar o XenMobile Server com o modo FIPS garante que todos os dados do cliente e do servidor XenMobile sejam totalmente compatíveis com o FIPS 140-2. Essa conformidade se aplica aos dados em repouso e aos dados em trânsito.

Antes de instalar um XenMobile Server no modo FIPS, conclua os pré-requisitos a seguir.

  • Use um SQL Server 2014 externo para o banco de dados do XenMobile. O SQL Server também deve ser configurado para comunicação SSL segura. Para obter instruções sobre como configurar a comunicação SSL segura com o SQL Server, consulte Habilitar conexões criptografadas com o mecanismo de banco de dados (SQL Server Configuration Manager).

  • A comunicação SSL segura requer que você instale um certificado SSL confiável de uma autoridade de certificação (CA) de renome no SQL Server. SQL Server 2014 não pode aceitar um certificado curinga. A Citrix recomenda que você solicite um certificado SSL com o FQDN do SQL Server.

Configuração do modo FIPS

Você pode ativar o modo FIPS somente durante a instalação inicial do XenMobile Server. Não é possível ativar o modo FIPS após a conclusão da instalação. Portanto, se você planeja usar o modo FIPS, deve instalar o XenMobile Server com o modo FIPS desde o início. Para clusters do XenMobile, todos os nós do cluster devem ter o FIPS ativado. Você não pode ter uma combinação de XenMobile Servers FIPS e não FIPS no mesmo cluster.

Há uma opção Toggle FIPS mode na interface de linha de comando do XenMobile que não se destina ao uso em produção. Essa opção se destina ao uso diagnóstico e não de produção, e não é compatível em um XenMobile Server de produção.

  1. Durante a instalação inicial, ative FIPS mode.

  2. Carregue o certificado de AC raiz para o SQL Server.

  3. Especifique o nome do servidor e a porta do SQL Server, as credenciais de login no SQL Server e o nome do banco de dados a ser criado para o XenMobile.

    Nota:

    Você pode usar um login SQL ou uma conta do Active Directory para acessar o SQL Server, mas o login usado deve ter a função DBcreator.

  4. Para usar uma conta do Active Directory, insira as credenciais no formato domínio\nome do usuário.

  5. Depois de concluir essas etapas, prossiga com a instalação inicial do XenMobile.

Para confirmar que a configuração do modo FIPS foi bem-sucedida, faça login na interface de linha de comando do XenMobile. A frase In FIPS Compliant Mode é exibida na faixa de login.

Importando certificados

O procedimento a seguir descreve como configurar o FIPS no XenMobile importando um certificado.

Pré-requisitos do SQL

  1. A conexão com a instância do SQL do XenMobile precisa ser segura, e a versão do SQL Server deve ser 2012 ou 2014. Para proteger a conexão, consulte Como ativar a criptografia SSL de uma instância do SQL Server usando o Console de Gerenciamento Microsoft.

  2. Se o serviço não for reiniciado corretamente, verifique o seguinte: abra Services.msc.

    1. Copie as informações de conta de login usadas para o serviço do SQL Server.

    2. Abra MMC.exe no SQL Server.

    3. Vá até File > Add/Remove Snap-in e clique duas vezes no item de certificados para adicionar o snap-in dos certificados. Selecione a conta de computador e o computador local nas duas páginas do assistente.

    4. Clique em OK.

    5. Expanda Certificates (Local Computer) > Personal > Certificados e localize o certificado SSL importado.

    6. Clique com o botão direito do mouse no certificado importado (selecionado no SQL Server Configuration Manager) e clique em All Tasks > Manage Private Keys.

    7. Em Group or User names, clique em Add.

    8. Insira o nome da conta de serviço do SQL que você copiou na etapa anterior.

    9. Limpe a opção Allow Full Control. Por padrão, as permissões Controle total e Leitura serão fornecidas à conta de serviço, mas ela precisa somente conseguir ler a chave privada.

    10. Feche o MMC e inicie o serviço SQL.

  3. Verifique se o serviço SQL foi iniciado corretamente.

Pré-requisitos dos Serviços de Informações da Internet (IIS)

  1. Baixe o certificado raiz (base 64).

  2. Copie o certificado raiz para o site padrão no servidor IIS, C:\inetpub\wwwroot.

  3. Marque a caixa de seleção Authentication do site padrão.

  4. Defina Anonymous como enabled.

  5. Marque a caixa de seleção de regras Failed Request Tracking.

  6. Certifique-se de que o .cer não esteja bloqueado.

  7. Navegue até o local do .cer em um navegador da Web a partir do servidor local, https://localhost/certname.cer. O texto do certificado raiz é exibido no navegador.

  8. Se o certificado raiz não for exibido no navegador da Web, verifique se o ASP está ativado no servidor IIS como se segue.

    1. Abra o Gerenciador de Servidores.

    2. Navegue até o assistente em Gerenciar > Adicionar Funções e Recursos.

    3. Nas funções de servidor, expanda Servidor Web (IIS), expanda Servidor Web, expanda Desenvolvimento de aplicativo e selecione ASP.

    4. Clique em Avançar até a conclusão da instalação.

  9. Navegue até https://localhost/cert.cer.

    Para obter mais informações, consulte Servidor Web (IIS).

    Nota:

    Você pode usar a instância do IIS da CA para este procedimento.

Importando o certificado raiz durante configuração inicial do modo FIPS

Quando você concluir as etapas para configurar o XenMobile pela primeira vez no console de linha de comando, deverá concluir estas configurações para importar o certificado raiz. Para obter detalhes sobre as etapas de instalação, consulte Instalação do XenMobile.

  • Ativar FIPS: Sim
  • Carregar certificado raiz: Sim
  • Copiar(c) ou Importar(i): i
  • Digite a URL HTTP para importar: https://<FQDN of IIS server>/cert.cer
  • Server: FQDN do SQL Server
  • Port: 1433
  • User name: a conta de serviço que pode criar o banco de dados (domain\username).
  • Password: a senha da conta de serviço.
  • Database: um nome de sua escolha.

Ativar o modo FIPS em dispositivos móveis

Por padrão, o modo FIPS está desativado em dispositivos móveis. Para ativar o modo FIPS, vá para Configurações > Propriedades do cliente, edite a propriedade Ativar o modo FIPS e defina o valor como true. Para obter mais informações, consulte Propriedades do cliente.

Configurar o modo FIPS com o XenMobile