DWA での NSA Suite B 暗号方式準拠の構成

IBM® Engineering Requirements Management DOORS® - Web Access (DWA) は、アメリカ国家安全保障局 (NSA) Suite B 暗号方式ガイドラインに準拠して、セキュア・ソケット経由で通信するように構成できます。この Suite B ガイドラインは、連邦情報処理標準 (FIPS) 140-2 および米国連邦情報・技術局 (NIST) の Special Publication (SP) 800-131A に対する、コンプライアンス・ポリシーを強化します。

始める前に

DWA が FIPS 140-2 に準拠するよう構成します

このタスクについて

DWA が Suite B に準拠するよう構成するには、必要な最小暗号強度を満たしていない証明書を使用した要求は拒否するように、Apache Tomcat サーバーの構成値を変更します。

FIPS 140-2 に準拠したセキュリティー・プロバイダーを使用し、Suite B モードで稼働するようシステム・プロパティーを構成する必要があります。この構成により、適切なプロトコルと暗号スイートを使用できるように なります。Suite B 準拠では、TLS 1.2 プロトコルのみが許可されます。Suite B が指定されている場合、証明書、鍵、およびセキュアな乱数発生ルーチンがすべて Suite B に準拠していることを確認する必要があります。

重要: TLS 1.2 プロトコルを指定する場合は、ベンダーの資料を参照して、ご使用のブラウザーがこのバージョンをサポートしているかどうかを確認してください。
DWA が Suite B に準拠するよう構成するには、次の手順に従います。
  • 始動スクリプト・ファイルで、SSL プロトコルおよび Suite B モードを指定するパラメーターを設定します。
  • TLS 1.2 プロトコルとサポートされる暗号スイートのみを受け入れるよう、Apache Tomcat サーバーの構成を変更します。
  • 暗号鍵が、必要な最小鍵強度を満たしていることを確認します。
  • デジタル署名が、必要な最小強度を満たしていることを確認します。
TLS、および最小レベルの 128 ビットのセキュリティーで Suite B に準拠するよう構成されているシステムでは、TLS 1.2 を使用し、クライアントまたはサーバーの認証に ECDSA-256 または ECDSA-384 を使用する必要があります。Suite B プロファイルをサポートするため、以下のシステム・プロパティーが提供されています。
com.ibm.jsse2.suiteB=128|192|false
このシステム・プロパティーには、以下のパラメーターがあります。
  • 128。128 ビットの最小レベルのセキュリティーを指定します。
  • 192。192 ビットの最小レベルのセキュリティーを指定します。
  • false。システムが Suite B に準拠していないことを指定します。 この値がデフォルトです。
com.ibm.jsse2.suiteB システム・プロパティーを設定している場合、 IBMJSSE2 は指定されたセキュリティー・レベルへの準拠を確保します。 IBMJSSE2 は、プロトコル、鍵、および証明書が、要求されたプロファイルに準拠していることを検証します。

手順

  1. Apache Tomcat 始動スクリプト・ファイルをエディターで開き、SSL プロトコル、ビット・レベル、および暗号スイートのパラメーターを追加します。 com.ibm.jsse2.usefipsprovider 項目で、以下のパラメーターの項目を追加します。
    パラメーター
    https.protocols TLSv1.2 に設定します。
    com.ibm.jsse2.suiteB 128 または 192 に設定します。
    https.cipherSuites サポートされる暗号スイートを入力します。 このパラメーターは、リモート・サービスの発信要求により使用される暗号を制限します。 この暗号スイートは、リモート・サーバーに設定される暗号スイートと互換性がなければなりません。
    • Windows システムでは、server.start.bat スクリプト・ファイルは、DWA インストール・ディレクトリー (例: C:¥Program Files¥IBM¥Rational¥DOORS Web Access¥version) にあります。この例では、SSL プロトコルおよび準拠レベル・パラメーターの最小の必須値を示しています。さらにサポートされる暗号スイートの例も示しています。
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      cd %CATALINA_HOME%¥bin
      call ".¥startup.bat"
      重要: com.ibm.jsse2.sp800-131 プロパティーがこのファイル内にある場合、そのプロパティーは削除してください。
    • Linux システムでは、server.start.sh スクリプト・ファイルは DWA インストール・ディレクトリーにあります。 この例では、SSL プロトコルおよび準拠レベル・パラメーターの最小の必須値を示しています。さらにサポートされる暗号スイートの例も示しています。
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      export JAVA_OPTS
      重要: com.ibm.jsse2.sp800-131 プロパティーがこのファイル内にある場合、そのプロパティーは削除してください。
  2. Apache Tomcat server.xml ファイルをエディターで開きます。 このファイルは、DWA インストール済み環境の server/conf ディレクトリー内にあります。例: C:¥Program Files¥IBM¥Rational¥DOORS Web Access¥9.version¥server¥conf
  3. sslProtocol の値を TLS 1.2 に設定します。例:
    sslProtocol="TLSv1.2"
  4. 暗号スイートは、Suite B に準拠する暗号に設定します。この項目の値は、手順 1 での説明どおり、サーバー始動スクリプトの https.cipherSuites パラメーターで使用される値と一致していなければなりません。以下に例を示します。
    ciphers="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
    Suite B に準拠するために承認された暗号スイートのみを使用するよう Secure Sockets Layer (SSL) が構成されていることを確認します。

次のタスク

TLS 1.2 をサポートするようクライアント・ブラウザーを更新します。

クライアントとサーバーの証明書が適切に署名されていることを確認します。 鍵ストア内の鍵を確認します。


ビデオ・アイコン ビデオ

Jazz.net チャンネル
Software Education チャンネル

学習アイコン コース

IoT Academy
スキル・ゲートウェイ

質問アイコン コミュニティー

Jazz.net
Jazz.net フォーラム
Jazz.net ライブラリー

サポート・アイコン サポート

IBM サポート・コミュニティ
Deployment Wiki