Настройка соответствия FIPS 140-2 в DWA

IBM® Engineering Requirements Management DOORS - Web Access (DWA) можно настроить для связи с использованием защищенных сокетов в соответствии с Федеральным стандартом обработки информации (FIPS) 140-2 Level 1. Этот стандарт определяет требования безопасности, которым должен отвечать криптографический модуль, используемый в системе безопасности для защиты неклассифицированной информации в ИТ-системах.

Об этой задаче

DWA использует провайдер IBMJSSE2 как провайдер Java™ Secure Socket Extension (JSSE). IBMJSSE2 не требует утверждения FIPS 140-2, так как делегирует функции шифрования и подписания провайдеру Java Cryptography Extension (JCE). DWA использует провайдер IBMJCEFIPS для шифрования данных. IBMJCEFIPS утвержден для FIPS 140-2.

Для настройки DWA для применения провайдера IBMJCEFIPS выполните следующие действия:
  • Укажите в файле IBM SDK java.security провайдеры IBMJCEFIPS и IBMJCE, а также библиотеку защищенных сокетов IBM.
  • В файле сценария запуска Apache Tomcat задайте значение системного свойства, которое указывает на соответствие FIPS 140-2.
  • Ограничьте в файле конфигурации сервера Apache Tomcat взаимодействие по https теми протоколами и комплектами шифров, которые поддерживаются FIPS 140-2.

Процедура

  1. Откройте файл java.security в редакторе. Этот файл расположен в каталоге установки DWA в библиотеке JRE, например
    C:\Program Files\IBM\Rational\DOORS Web
    Access\версия\win32\jre\lib\security
  2. Добавьте в файл следующие записи с перечислением провайдеров:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. Перенумеруйте остальные провайдеры в списке таким образом чтобы он содержал следующие записи:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. Сохраните и закройте файл.
  5. Откройте файл сценария запуска Apache Tomcat в редакторе.
    • В системах Windows файл сценария server.start.bat расположен в каталоге установки DWA. Пример:
      C:\Program Files\IBM\Rational\DOORS Web Access\версия
      В нижней части файла перед записью cd %CATALINA_HOME%\bin добавьте запись set JAVA_OPTS для параметра com.ibm.jsse2.usefipsprovider:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • В системах Linux файл сценария server.start.sh расположен в каталоге установки DWA. Перед записью export JAVA_OPTS добавьте запись JAVA_OPTS для параметра com.ibm.jsse2.usefipsprovider:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      
      export JAVA_OPTS
  6. Сохраните и закройте файл.
  7. Откройте файл Apache Tomcat server.xml в редакторе. Этот файл расположен в каталоге установки DWA в подкаталоге server/conf. Пример:
    C:\Program Files\IBM\Rational\DOORS Web
    Access\версия\server\conf
  8. В разделе коннектора HTTPS, описанном в статье Настройка DWA для использования SSL или TLS, присвойте параметру sslProtocol значение минимальной версии TLS, например
    sslProtocol="TLS"
    В этом параметре указана самая строгая версия TLS, используемая при взаимодействии между сервером и определенным клиентом.
  9. Укажите комплекты шифров, чтобы дополнительно ограничить шифры, принимаемые сервером. Пример:
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA,
        SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    Список поддерживаемых комплектов шифров можно найти по ссылке "Комплекты шифров IBM JSSE FIPS" в разделе Связанная информация.

Дальнейшие действия

Настройте браузер на отправку по крайней мере минимальной версии TLS, которую принимает сервер Apache Tomcat. В Microsoft Internet Explorer TLS может быть не включен. Для включения TLS откройте Internet Explorer и в нем откройте меню Сервис > Свойства обозревателя. На вкладке Дополнительно выберите Использовать TLS версия, где версия - это минимальная версия клиента, принимаемая сервером.

Если вы используете провайдеры, утвержденные FIPS 140-2, убедитесь, что сертификаты и хранилища ключей содержат поддерживаемые алгоритмы. Список поддерживаемых алгоритмов шифрования и подписания приведен в разделе "Провайдеры Java, утвержденные FIPS: IBMJSSEFIPS и IBMJCEFIPS".


значок видео Видеозапись

Канал Jazz.net
Канал Software Education

значок обучения Курсы

Академия IoT
Шлюз навыков

значок вопроса Сообщество

Jazz.net
Форумы Jazz.net
Библиотека Jazz.net

значок поддержки Поддержка

Сообщество службы поддержки IBM
Вики о развертывании