Vous pouvez configurer You can configure IBM®
Engineering Requirements Management DOORS - Web
Access
(DWA) pour qu'il communique via des connexions sécurisées conformément à la norme FIPS 140-2 (niveau 1). Cette norme définit les exigences de
sécurité qu'un module cryptographique utilisé dans un système de sécurité doit satisfaire pour protéger les informations non classifiées dans les systèmes informatiques.
Pourquoi et quand exécuter cette tâche
DWA utilise le fournisseur IBMJSSE2 en tant que fournisseur JSSE (Java™ Secure Socket Extension). IBMJSSE2 n'a pas besoin d'approbation FIPS 140-2 car il délègue les fonctions de chiffrement et de signature à un fournisseur JCE (Java Cryptography Extension). DWA utilise le fournisseur IBMJCEFIPS pour chiffrer les données. IBMJCEFIPS est approuvé pour FIPS 140-2.
La configuration de
DWA de manière à utiliser le fournisseur IBMJCEFIPS comporte les étapes suivantes :
- Editez le fichier IBM SDK java.security pour inclure les fournisseurs IBMJCEFIPS et IBMJCE et pour spécifier la bibliothèque de connexions sécurisées IBM.
- Editez le fichier de script de démarrage Apache Tomcat pour définir la propriété système
qui spécifie le paramètre conforme à FIPS 140-2.
- Editez le fichier de configuration du serveur Apache Tomcat pour restreindre la
communication https aux protocoles et aux algorithmes de cryptographie pris en charge par
FIPS 140-2.
Procédure
- Ouvrez le fichier java.security dans un
éditeur. Ce fichier se trouve dans le répertoire d'installation de DWA de la bibliothèque JRE du système d'exploitation. Par exemple :
C:\Program Files\IBM\Rational\DOORS Web Access\version\win32\jre\lib\security
- Dans le fichier, ajoutez les entrées suivantes à la liste de fournisseurs :
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
- Renumérotez les autres fournisseurs de la liste afin d'inclure les entrées suivantes :
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
security.provider.4=com.ibm.crypto.provider.IBMJCE
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.security.sasl.IBMSASL
security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.10=org.apache.harmony.security.provider.PolicyProvider
security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
- Enregistrez et fermez le fichier.
- Ouvrez le fichier de script de démarrage Apache Tomcat dans un éditeur.
- Sur les systèmes Windows, le fichier script server.start.bat se trouve dans le répertoire d'installation de DWA. Par exemple :
C:\Program Files\IBM\Rational\DOORS Web Access\version
Vers la fin du fichier, avant l'entrée cd %CATALINA_HOME%\bin, ajoutez l'entrée set JAVA_OPTS pour le paramètre com.ibm.jsse2.usefipsprovider :set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true
cd %CATALINA_HOME%\bin
call ".\startup.bat"
- Sur les systèmes Linux, le fichier script server.start.sh se trouve dans le répertoire d'installation DWA. Avant l'entrée export JAVA_OPTS, ajoutez l'entrée JAVA_OPTS pour le paramètre com.ibm.jsse2.usefipsprovider :
JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
export JAVA_OPTS
- Enregistrez et fermez le fichier.
- Ouvrez le fichier Apache Tomcat server.xml
dans un éditeur. Ce fichier se trouve dans le répertoire d'installation server/conf de DWA. Par exemple :
C:\Program Files\IBM\Rational\DOORS Web Access\version\server\conf
- Dans la section relative au connecteur HTTPS, décrite dans la rubrique Configuration de DWA pour utiliser SSL ou TLS, définissez la valeur sslProtocol sur la version TLS minimale. Par exemple :
sslProtocol="TLS"
Ce
paramètre utilise la version TLS la plus solide lors de la communication entre
le serveur et un client spécifique.
- Définissez les algorithmes de cryptographie pour restreindre davantage les éléments acceptés par le serveur. Par exemple :
ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA,
SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
Pour obtenir la liste des algorithmes de cryptographie pris en charge, voir "IBM JSSE FIPS Cipher Suites" dans Information associée.
Que faire ensuite
Configurez le navigateur en vue d'envoyer au moins la version
TLS minimale que le serveur Apache Tomcat accepte. Il se peut que Microsoft Internet Explorer n'ait pas activé TLS. Pour activer TLS, ouvrez Internet
Explorer et cliquez sur . Dans l'onglet Avancé, sélectionnez Utiliser TLS version, où version indique la version client minimale que le serveur accepte.
Si vous utilisez des fournisseurs approuvés
par FIPS 140-2, vérifiez que les certificats et les fichiers de clés incluent
des algorithmes pris en charge. Pour obtenir une liste des algorithmes de clés et de signature pris en charge, voir "The Java FIPS-approved providers, IBMJSSEFIPS and IBMJCEFIPS".