FIPS 140-2 준수를 위한 Rational DOORS Web Access 구성

FIPS(Federal Information Processing Standard) 140-2 레벨 1을 준수하여 IBM® Rational® DOORS® Web Access가 보안 소켓을 통해 통신하도록 구성할 수 있습니다. 이 표준은 IT 시스템에 있는 암호화되지 않은 정보를 보호하기 위해 보안 시스템에서 사용하는 암호화 모듈이 만족시켜야 하는 보안 요구사항을 정의합니다.

이 태스크 정보

Rational DOORS Web Access는 JSSE(Java™ Secure Socket Extension) 제공자로 IBMJSSE2 제공자를 사용합니다. IBMJSSE2는 암호화 및 서명 기능을 JCE(Java Cryptography Extension) 제공자에 위임하므로 FIPS 140-2 승인을 필요로 하지 않습니다. Rational DOORS Web Access는 데이터를 암호화하는 데 IBMJCEFIPS 제공자를 사용합니다. IBMJCEFIPS는 FIPS 140-2에 대해 승인되어 있습니다.

IBMJCEFIPS 제공자를 사용하도록 Rational DOORS Web Access를 구성하는 데는 다음 단계가 포함됩니다.
  • IBM SDK java.security 파일을 편집하여 IBMJCEFIPS 및 IBMJCE 제공자를 포함시키고 IBM 보안 소켓 라이브러리를 지정합니다.
  • Apache Tomcat 시작 스크립트 파일을 편집하여 FIPS 140-2 준수 설정을 지정하는 시스템 특성을 설정합니다.
  • Apache Tomcat 서버 구성 파일을 편집하여 https 통신을 FIPS 140-2에서 지원하는 프로토콜 및 암호 스위트로 제한합니다.

프로시저

  1. 편집기에서 java.security 파일을 여십시오. 이 파일은 Rational DOORS Web Access 설치 디렉토리의 OS JRE 라이브러리에 있습니다. 예를 들면 다음과 같습니다.
    C:\Program Files\IBM\Rational\DOORS Web Access\version\win32\jre\lib\security
  2. 이 파일에서 제공자 목록에 다음 항목을 추가하십시오.
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. 다음 항목을 포함하도록 목록에 있는 다른 제공자의 번호를 다시 지정하십시오.
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. 파일을 저장하고 닫으십시오.
  5. 편집기에서 Apache Tomcat 시작 스크립트 파일을 여십시오.
    • Windows 시스템에서 server.start.bat 스크립트 파일은 Rational DOORS Web Access 설치 디렉토리에 있습니다. 예를 들면 다음과 같습니다.
      C:\Program Files\IBM\Rational\DOORS Web Access\version
      파일의 맨 아래 근처에서 cd %CATALINA_HOME%\bin 항목 앞에 com.ibm.jsse2.usefipsprovider 매개변수를 지정하는 set JAVA_OPTS 항목을 추가하십시오.
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Linux 시스템에서 server.start.sh 스크립트 파일은 Rational DOORS Web Access 설치 디렉토리에 있습니다. export JAVA_OPTS 항목 앞에 com.ibm.jsse2.usefipsprovider 매개변수를 지정하는 JAVA_OPTS 항목을 추가하십시오.
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      
      export JAVA_OPTS
  6. 파일을 저장하고 닫으십시오.
  7. 편집기에서 Apache Tomcat server.xml 파일을 여십시오. 이 파일은 Rational DOORS Web Access 설치 디렉토리의 server/conf 디렉토리에 있습니다. 예를 들면 다음과 같습니다.
    C:\Program Files\IBM\Rational\DOORS Web Access\version\server\conf
  8. SSL 또는 TLS를 사용하도록 Rational DOORS Web Access 구성에 설명되어 있는 HTTPS 커넥터 섹션에서 sslProtocol 값을 최저 TLS 버전으로 설정하십시오. 예를 들면 다음과 같습니다.
    sslProtocol="TLS"
    이 설정은 서버와 특정 클라이언트 간의 통신 중에 가장 강력한 TLS 버전을 사용합니다.
  9. 암호 스위트를 설정하여 서버가 수락하는 항목을 추가로 제한하십시오. 예를 들면 다음과 같습니다.
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA,
        SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    지원되는 암호 스위트의 목록은 관련 정보에 있는 "IBM JSSE FIPS 암호 스위트"를 참조하십시오.

다음에 수행할 작업

Apache Tomcat 서버가 수락하는 최저 TLS 버전 이상을 사용하여 전송하도록 브라우저를 구성하십시오. Microsoft Internet Explorer에 TLS가 사용으로 설정되어 있지 않은 경우도 있을 수 있습니다. TLS를 사용으로 설정하려면 Internet Explorer를 열고 도구 > 인터넷 옵션을 클릭하십시오. 고급 탭에서 TLS version 사용을 선택하십시오. 여기서 version은 서버가 수락하는 최저 클라이언트 버전입니다.

FIPS 140-2에 의해 승인된 제공자를 사용하는 경우에는 인증서 및 키 저장소가 지원하는 알고리즘을 포함하는지 확인하십시오. 지원되는 키 및 서명 알고리즘의 목록은 "Java FIPS 승인 제공자 IBMJSSEFIPS 및 IBMJCEFIPS"를 참조하십시오.


비디오 아이콘 비디오 보기

CLM 재생 목록
Jazz.net 채널
User Education 채널

학습 아이콘 추가 학습

CLM 학습 서클
Agile 학습 서클
학습 서클

질문 아이콘 질문하기

Jazz.net 포럼
developerWorks 포럼

지원 아이콘 지원 받기

지원 센터 포털
배치 위키
지원 센터 블로그