XenMobile Server

在 XenMobile 中配置 FIPS

XenMobile 中的联邦信息处理标准 (Federal Information Processing Standards, FIPS) 模式通过对所有加密操作仅使用通过 FIPS 140-2 认证的库来支持美国联邦政府客户。在 FIPS 模式下安装 XenMobile Server 可确保 XenMobile 客户端与服务器的数据完全符合 FIPS 140-2。该合规性适用于静态数据和传输中的数据。

在 FIPS 模式下安装 XenMobile Server 之前,应完成以下必备条件。

  • 必须对 XenMobile 数据库使用外部 SQL Server 2014。还必须配置 SQL Server 以实现安全 SSL 通信。有关配置与 SQL Server 的安全 SSL 通信的说明,请参阅 Enable Encrypted Connections to the Database Engine (SQL Server Configuration Manager)(启用与数据库引擎 (SQL Server Configuration Manager) 的加密连接)。

  • 安全 SSL 通信要求您在 SQL Server 上安装来自众所周知的证书颁发机构 (CA) 的可信 SSL 证书。SQL Server 2014 无法接受通配符证书。Citrix 建议您通过 SQL Server 的 FQDN 请求 SSL 证书。

配置 FIPS 模式

可以在对 XenMobile Server 进行初始设置过程中启用 FIPS 模式。安装完成后则无法启用 FIPS。因此,如果您计划使用 FIPS 模式,则必须从一开始就安装采用 FIPS 模式的 XenMobile Server。此外,对于 XenMobile 群集,所有群集节点都必须启用 FIPS。不能在同一个群集中混合使用 FIPS 和非 FIPS XenMobile Server。

XenMobile 命令行接口中存在一个不用于生产的 Toggle FIPS mode(切换 FIPS 模式)选项。此选项专用于非生产诊断,在生产型 XenMobile Server 上不受支持。

  1. 在初始设置过程中,启用 FIPS mode(FIPS 模式)。

  2. 上载 SQL Server 的根 CA 证书。

  3. 指定 SQL Server 的服务器名称和端口,用于登录 SQL Server 的凭据以及要为 XenMobile 创建的数据库名称。

    注意:

    可以使用 SQL 登录帐户或 Active Directory 帐户访问 SQL Server,但您使用的登录帐户必须具有 DBcreator 角色。

  4. 要使用 Active Directory 帐户,请以 domain\username 格式输入凭据。

  5. 完成这些步骤后,请继续执行 XenMobile 初始设置。

要确认 FIPS 模式是否已成功配置,请登录 XenMobile 命令行接口。登录横幅中将显示短语 In FIPS Compliant Mode(处于 FIPS 兼容模式)。

导入证书

以下过程介绍了如何通过导入证书在 XenMobile 中配置 FIPS。

SQL 必备条件

  1. 从 XenMobile 到 SQL 实例的连接必须安全,且必须是 SQL Server 2012 或 SQL Server 2014。要确保连接安全,请参阅 How to enable SSL encryption for an instance of SQL Server by using Microsoft Management Console(如何使用 Microsoft 管理控制台为 SQL Server 的实例启用 SSL 加密)。

  2. 如果该服务未正确重新启动,请检查以下项:打开 Services.msc

    1. 复制用于 SQL Server 服务的登录帐户信息。

    2. 在 SQL Server 上打开 MMC.exe。

    3. 转至文件 > 添加/删除管理单元,然后双击证书项以添加证书管理单元。在向导中的两个页面上选择计算机帐户和本地计算机。

    4. 单击确定

    5. 展开证书(本地计算机) > 个人 > 证书,找到导入的 SSL 证书。

    6. 右键单击导入的证书(在 SQL Server 配置管理器中进行选择),然后单击所有任务 > 管理私钥

    7. 组或用户名下方,单击添加

    8. 输入在之前的步骤中复制的 SQL 服务帐户名称。

    9. 取消选中允许完全控制选项。默认情况下,该服务帐户将被同时授予完全控制和读取权限,但只需要能够读取私钥。

    10. 关闭 MMC 并启动 SQL 服务。

  3. 确保 SQL 服务已正确启动。

Internet Information Services (IIS) 必备条件

  1. 下载根证书 (base 64)。

  2. 将根证书复制到 IIS 服务器上的默认站点 C:\inetpub\wwwroot。

  3. 选中默认站点的身份验证复选框。

  4. 匿名设置为已启用

  5. 选中失败请求跟踪规则复选框。

  6. 确保 .cer 未被阻止。

  7. 从本地服务器浏览到 Web 浏览器中的 .cer 的位置 https://localhost/certname.cer。根证书文本将显示在浏览器中。

  8. 如果根证书未显示在您的 Web 浏览器中,请务必按如下所示在 IIS 服务器上启用 ASP。

    1. 打开服务器管理器。

    2. 管理 > 添加角色和功能中导航到向导。

    3. 在服务器角色中,依次展开 Web 服务器(IIS)Web 服务器应用程序开发,然后选择 ASP

    4. 完成安装后,单击下一步

  9. 浏览到 https://localhost/cert.cer

    有关详细信息,请参阅 Web 服务器 (IIS)

    注意:

    在此过程可以使用 CA 的 IIS 实例。

在初始 FIPS 配置过程中导入根证书

在命令行控制台中完成首次配置 XenMobile 的步骤时,必须完成以下设置才能导入根证书。有关安装步骤的详细信息,请参阅安装 XenMobile

  • 启用 FIPS:是
  • 上载根证书:是
  • 复制 (c) 或导入 (i):i
  • 输入 HTTP URL 以导入: https://<FQDN of IIS server>/cert.cer
  • 服务器:SQL Server 的 FQDN
  • 端口:1433
  • 用户名:可以创建数据库的服务帐户 (domain\username)。
  • 密码:服务帐户的密码。
  • 数据库名称:您选择的名称。

在移动设备上启用 FIPS 模式

默认情况下,FIPS 模式在移动设备上处于禁用状态。要启用 FIPS 模式,请转至设置 > 客户端属性,编辑启用 FIPS 模式属性,然后将值设置为 true。有关详细信息,请参阅客户端属性

在 XenMobile 中配置 FIPS