Product Documentation

在 XenMobile 中配置 FIPS

Feb 27, 2017

XenMobile 中的联邦信息处理标准 (Federal Information Processing Standards, FIPS) 模式通过将服务器配置为仅对所有加密操作使用通过 FIPS 140-2 认证的库来支持美国联邦政府客户。在 FIPS 模式下安装 XenMobile 服务器可确保 XenMobile 客户端与服务器的未使用的所有数据以及传输中的数据完全遵从 FIPS 140-2。

在 FIPS 模式下安装 XenMobile 服务器之前,需要完成以下必备条件。

  • 必须对 XenMobile 数据库使用外部 SQL Server 2012 或 SQL Server 2014。还必须配置 SQL Server 以实现安全 SSL 通信。有关配置与 SQL Server 的安全 SSL 通信的说明,请参阅 SQL Server 联机丛书
  • 安全 SSL 通信要求在 SQL Server 上安装 SSL 证书。SSL 证书可以是来自商业 CA 的公用证书或来自内部 CA 的自签名证书。请注意,SQL Server 2014 无法接受通配符证书。因此,Citrix 建议您通过 SQL Server 的 FQDN 请求 SSL 证书。
  • 如果使用 SQL Server 的自签名证书,则需要颁发了您的自签名证书的根 CA 证书的副本。必须在安装过程中将根 CA 证书导入到 XenMobile 服务器中。

配置 FIPS 模式

可以在 XenMobile 服务器的初始安装过程中启用 FIPS 模式。安装完成后则无法启用 FIPS。因此,如果您打算使用 FIPS 模式,则必须在开始时在 FIPS 模式下安装 XenMobile 服务器。此外,如果您有 XenMobile 群集,则所有群集节点都必须启用 FIPS;不能在同一个群集中同时包含 FIPS 和非 FIPS XenMobile 服务器。

XenMobile 命令行接口中存在一个不供生产使用的 Toggle FIPS mode(切换 FIPS 模式)选项。此选项专用于非生产诊断,在生产型 XenMobile 服务器上不受支持。

1. 在初始设置过程中,启用 FIPS mode(FIPS 模式)。

2. 上载 SQL Server 的根 CA 证书。如果在 SQL Server 上使用了自签名 SSL 证书而非公用证书,请为此选项选择 Yes(是),然后执行以下操作之一:

a. 复制并粘贴 CA 证书。

b. 导入 CA 证书。要导入 CA 证书,必须将该证书发布到可通过 HTTP URL 从 XenMobile 服务器访问的 Web 站点。有关详细信息,请参阅将证书上载到 XenMobile

3. 指定 SQL Server 的服务器名称和端口,用于登录 SQL Server 的凭据以及要为 XenMobile 创建的数据库名称。

注意:可以使用 SQL 登录凭据或 Active Directory 帐户访问 SQL Server,但您使用的登录凭据必须具有 DBcreator 角色。

4. 要使用 Active Directory 帐户,请以 domain\username 格式输入凭据。

5. 完成这些步骤后,请继续执行 XenMobile 初始设置。

要确认 FIPS 模式是否已成功配置,请登录 XenMobile 命令行接口。登录横幅中将显示阶段 In FIPS Compliant Mode(处于 FIPS 兼容模式)。

导入证书

以下步骤介绍了如何通过导入证书在 XenMobile 上配置 FIPS,使用 VMware 虚拟机管理程序时需要使用该模式。

SQL 必备条件

1. 从 XenMobile 到 SQL 实例的连接必须安全,且必须是 SQL Server 2012 或 SQL Server 2014。要确保连接安全,请参阅 How to enable SSL encryption for an instance of SQL Server by using Microsoft Management Console(如何使用 Microsoft 管理控制台为 SQL Server 的实例启用 SSL 加密)。

2. 如果该服务未正确重新启动,请检查以下项:打开 Services.msc

a. 复制用于 SQL Server 服务的登录帐户信息。

b. 在 SQL Server 上打开 MMC.exe。

c. 转至文件 > 添加/删除管理单元,然后双击证书项以添加证书管理单元。在向导中的两个页面上选择计算机帐户和本地计算机。

d. 单击确定

e. 展开证书(本地计算机) > 个人 > 证书,找到导入的 SSL 证书。

f. 右键单击导入的证书(在 SQL Server 配置管理器中进行选择),然后单击所有任务 > 管理私钥

g. 在组或用户名下方,单击添加

h. 输入在之前的步骤中复制的 SQL 服务帐户名称。

i. 取消选中允许完全控制选项。默认情况下,该服务帐户将被同时授予完全控制和读取权限,但只需要能够读取私钥。

j. 关闭 MMC 并启动 SQL 服务。

3. 确保 SQL 服务已正确启动。

Internet Information Services (IIS) 必备条件

1. 下载 rootcert (base 64)。

2. 将 rootcert 复制到 IIS 服务器上的默认站点 C:\inetpub\wwwroot。

3. 选中默认站点的身份验证复选框。

4. 将匿名设置为已启用

5. 选中失败请求跟踪规则复选框。

6. 确保 .cer 不被阻止。

7. 在 Internt Explorer 浏览器中从本地服务器浏览到 .cer 所在的位置 http://localhost/certname.cer。根证书文本应在浏览器中显示。

8. 如果根证书不在 Internet Explorer 浏览器中显示,请务必按如下所示在 IIS 服务器上启用 ASP。

a. 打开服务器管理器

b. 在管理 > 添加角色和功能中导航到向导。

c. 在服务器角色中,依次展开 Web 服务器(IIS)Web 服务器应用程序开发,然后选择 ASP

d. 完成安装后,单击下一步

9. 打开 Internet Explorer 并浏览到 http://localhost/cert.cer。

有关详细信息,请参阅 Web 服务器 (IIS)

注意

可以为此过程使用 CA 的 IIS 实例。

在初始 FIPS 配置过程中导入根证书

在命令行控制台中完成首次配置 XenMobile 的步骤时,必须完成以下设置才能导入根证书。有关安装步骤的详细信息,请参阅安装 XenMobile

  • 启用 FIPS:是
  • 上载根证书:是
  • 复制 (c) 或导入 (i):i
  • 输入 HTTP URL 以导入:http://IIS 服务器的 FQDN/cert.cer
  • 服务器:SQL Server 的 FQDN
  • 端口:1433
  • 用户名:能够创建数据库的服务帐户 (domain\username)。
  • 密码:服务帐户的密码。
  • 数据库名称:这是您选择的名称。