DWA での FIPS 140-2 準拠の構成

IBM® Engineering Requirements Management DOORS® - Web Access (DWA) は、連邦情報処理標準 (FIPS) 140-2 レベル 1 に準拠して、セキュア・ソケット経由で通信するように構成できます。この標準は、IT システム内の機密扱いでない情報を保護するためにセキュリティー・システムが使用する暗号モジュールが満たすべきセキュリティー要件を定義します。

このタスクについて

DWA は、IBMJSSE2 プロバイダーを Java™ Secure Socket Extension (JSSE) プロバイダーとして使用します。 IBMJSSE2 では、暗号化および署名機能を Java Cryptography Extension (JCE) プロバイダーが代行するため、FIPS 140-2 の承認は必要ありません。DWA は、IBMJCEFIPS プロバイダーを使用してデータを暗号化します。 IBMJCEFIPS は、FIPS 140-2 で承認されています。

DWA が IBMJCEFIPS プロバイダーを使用するように構成するには、次の手順を実行します。
  • IBM SDK java.security ファイルが、IBMJCEFIPS および IBMJCE プロバイダーを含み、IBM セキュア・ソケット・ライブラリーを指定するよう編集します。
  • Apache Tomcat 始動スクリプト・ファイルで、 FIPS 140-2 準拠設定を指定するシステム・プロパティーを設定するよう編集します。
  • HTTPS 通信が FIPS 140-2 でサポートされるプロトコルおよび暗号スイートに制限されるよう、Apache Tomcat サーバー構成ファイルを編集します。

手順

  1. java.security ファイルをエディターで開きます。 このファイルは、OS JRE ライブラリー内の DWA インストール・ディレクトリーにあります。例:
    C:¥Program Files¥IBM¥Rational¥DOORS Web Access¥version¥win32¥jre¥lib¥security
  2. ファイル内のプロバイダー・リストに以下の項目を追加します。
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. リスト内の他のプロバイダーを再番号付けし、以下の項目が含まれるようにします。
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. ファイルを保存して閉じます。
  5. Apache Tomcat 始動スクリプト・ファイルをエディターで開きます。
    • Windows システムでは、server.start.bat スクリプト・ファイルは DWA インストール・ディレクトリーにあります。例:
      C:¥Program Files¥IBM¥Rational¥DOORS Web Access¥version
      ファイル下部付近の cd %CATALINA_HOME%¥bin 項目の前に、com.ibm.jsse2.usefipsprovider パラメーターの set JAVA_OPTS 項目を追加します。
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      
      cd %CATALINA_HOME%¥bin
      call ".¥startup.bat"
    • Linux システムでは、server.start.sh スクリプト・ファイルは DWA インストール・ディレクトリーにあります。 export JAVA_OPTS 項目の前に、com.ibm.jsse2.usefipsprovider パラメーターの JAVA_OPTS 項目を追加します。
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      
      export JAVA_OPTS
  6. ファイルを保存して閉じます。
  7. Apache Tomcat server.xml ファイルをエディターで開きます。 このファイルは、DWA インストール済み環境の server/conf ディレクトリー内にあります。例:
    C:¥Program Files¥IBM¥Rational¥DOORS Web Access¥version¥server¥conf
  8. HTTPS コネクター・セクション (『SSL または TLS を使用する DWA の構成』で説明) で、sslProtocol 値を最小の TLS バージョンに設定します。例:
    sslProtocol="TLS"
    この設定では、サーバーと特定クライアントの間の通信で最も強力な TLS バージョンが使用されます。
  9. 暗号スイートを、サーバーが受け入れる対象の制限度がさらに高いものに設定します。例:
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA,
        SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    サポートされる暗号スイートのリストについては、関連情報の『IBM JSSE FIPS 暗号スイート』を参照してください。

次のタスク

少なくとも Apache Tomcat サーバーが受け入れる最小の TLS バージョンを送信するようブラウザーを構成します。Microsoft Internet Explorer で TLS が使用可能でない場合があります。TLS を使用可能にするには、Internet Explorer を開いて、 「ツール」 > 「インターネット オプション」とクリックします。「詳細設定」タブで、「TLS version の使用」オプションを選択します。ここで version は、サーバーが受け入れる最小のクライアント・バージョンです。

FIPS 140-2 が承認するプロバイダーを使用する場合、証明書と鍵ストアに、サポートされるアルゴリズムが組み込まれていることを確認してください。サポートされる鍵および署名アルゴリズムのリストについては、『Java FIPS 承認プロバイダー IBMJSSEFIPS および IBMJCEFIPS』を参照してください。


ビデオ・アイコン ビデオ

Jazz.net チャンネル
Software Education チャンネル

学習アイコン コース

IoT Academy
スキル・ゲートウェイ

質問アイコン コミュニティー

Jazz.net
Jazz.net フォーラム
Jazz.net ライブラリー

サポート・アイコン サポート

IBM サポート・コミュニティ
Deployment Wiki