Настройка соответствия FIPS 140-2 в Rational DOORS Web Access

IBM® Rational DOORS Web Access можно настроить для взаимодействия с использованием защищенных сокетов в соответствии с Федеральным стандартом обработки информации (FIPS) 140-2 уровня 1. Этот стандарт определяет требования безопасности, которым должен отвечать криптографический модуль, используемый в системе безопасности для защиты неклассифицированной информации в ИТ-системах.

Об этой задаче

Rational DOORS Web Access использует провайдер IBMJSSE2 как провайдер Java™ Secure Socket Extension (JSSE). IBMJSSE2 не требует утверждения FIPS 140-2, так как делегирует функции шифрования и подписания провайдеру Java Cryptography Extension (JCE). Rational DOORS Web Access использует для шифрования данных провайдер IBMJCEFIPS. IBMJCEFIPS утвержден для FIPS 140-2.

Для настройки Rational DOORS Web Access для применения провайдера IBMJCEFIPS выполните следующие действия:
  • Укажите в файле IBM SDK java.security провайдеры IBMJCEFIPS и IBMJCE, а также библиотеку защищенных сокетов IBM.
  • В файле сценария запуска Apache Tomcat задайте значение системного свойства, которое указывает на соответствие FIPS 140-2.
  • Ограничьте в файле конфигурации сервера Apache Tomcat взаимодействие по https теми протоколами и комплектами шифров, которые поддерживаются FIPS 140-2.

Процедура

  1. Откройте файл java.security в редакторе. Файл расположен в установочном каталоге Rational DOORS Web Access в библиотеке OS JRE. Пример:
    C:\Program Files\IBM\Rational\DOORS Web
    Access\версия\win32\jre\lib\security
  2. Добавьте в файл следующие записи с перечислением провайдеров:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. Перенумеруйте остальные провайдеры в списке таким образом чтобы он содержал следующие записи:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. Сохраните и закройте файл.
  5. Откройте файл сценария запуска Apache Tomcat в редакторе.
    • В системах Windows файл сценария server.start.bat расположен в каталоге установки Rational DOORS Web Access. Пример:
      C:\Program Files\IBM\Rational\DOORS Web Access\версия
      В нижней части файла перед записью cd %CATALINA_HOME%\bin добавьте запись set JAVA_OPTS для параметра com.ibm.jsse2.usefipsprovider:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • В системах Linux файл сценария server.start.sh расположен в каталоге установки Rational DOORS Web Access. Перед записью export JAVA_OPTS добавьте запись JAVA_OPTS для параметра com.ibm.jsse2.usefipsprovider:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      
      export JAVA_OPTS
  6. Сохраните и закройте файл.
  7. Откройте файл Apache Tomcat server.xml в редакторе. Этот файл расположен в установочном каталоге Rational DOORS Web Access в подкаталоге server/conf. Пример:
    C:\Program Files\IBM\Rational\DOORS Web
    Access\версия\server\conf
  8. В разделе Коннектор HTTPS, который описан в разделе Настройка Rational DOORS Web Access для использования SSL или TLS укажите для параметра sslProtocol минимальную версию TLS; пример:
    sslProtocol="TLS"
    В этом параметре указана самая строгая версия TLS, используемая при взаимодействии между сервером и определенным клиентом.
  9. Укажите комплекты шифров, чтобы дополнительно ограничить шифры, принимаемые сервером. Пример:
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA,
        SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    Список поддерживаемых комплектов шифров можно найти по ссылке "Комплекты шифров IBM JSSE FIPS" в разделе Связанная информация.

Дальнейшие действия

Настройте браузер на отправку по крайней мере минимальной версии TLS, которую принимает сервер Apache Tomcat. В Microsoft Internet Explorer TLS может быть не включен. Для включения TLS откройте Internet Explorer и в нем откройте меню Сервис > Свойства обозревателя. На вкладке Дополнительно выберите Использовать TLS версия, где версия - это минимальная версия клиента, принимаемая сервером.

Если вы используете провайдеры, утвержденные FIPS 140-2, убедитесь, что сертификаты и хранилища ключей содержат поддерживаемые алгоритмы. Список поддерживаемых алгоритмов шифрования и подписания приведен в разделе "Провайдеры Java, утвержденные FIPS: IBMJSSEFIPS и IBMJCEFIPS".


Значок видео Смотреть видеоролики

Список воспроизведения CLM
Канал Jazz.net
Канал обучения пользователей

Значок обучения Дополнительная информация

Обучающий курс по CLM
Обучающий курс по Agile
Обучающие курсы

Значок вопроса Вопросы

Форум Jazz.net
Форумы developerWorks

Значок поддержки Получить поддержку

Портал поддержки
Вики о развертывании
Блог службы поддержки