DWA>에서 FIPS 140-2 800-131A에 대한 준수 구성

FIPS(Federal Information Processing Standard) 140-2 레벨 1을 준수하여 보안 소켓을 통해 통신하도록 IBM® Engineering Requirements Management DOORS® - Web Access(DWA)를 구성할 수 있습니다. 이 표준은 IT 시스템에 있는 암호화되지 않은 정보를 보호하기 위해 보안 시스템에서 사용하는 암호화 모듈이 만족시켜야 하는 보안 요구사항을 정의합니다.

이 태스크 정보

DWA에서는 IBMJSSE2 제공자를 JSSE(Java™ Secure Socket Extension) 제공자로 사용합니다. IBMJSSE2는 암호화 및 서명 기능을 JCE(Java Cryptography Extension) 제공자에 위임하므로 FIPS 140-2 승인을 필요로 하지 않습니다. DWA에서는 IBMJCEFIPS 제공자를 사용하여 데이터를 암호화합니다. IBMJCEFIPS는 FIPS 140-2에 대해 승인되어 있습니다.

IBMJCEFIPS 제공자를 사용하도록 DWA를 구성하는 데에는 다음 단계가 포함됩니다.
  • IBM SDK java.security 파일을 편집하여 IBMJCEFIPS 및 IBMJCE 제공자를 포함시키고 IBM 보안 소켓 라이브러리를 지정합니다.
  • Apache Tomcat 시작 스크립트 파일을 편집하여 FIPS 140-2 준수 설정을 지정하는 시스템 특성을 설정합니다.
  • Apache Tomcat 서버 구성 파일을 편집하여 https 통신을 FIPS 140-2에서 지원하는 프로토콜 및 암호 스위트로 제한합니다.

프로시저

  1. 편집기에서 java.security 파일을 여십시오. 이 파일은 OS JRE 라이브러리의 DWA 설치 디렉토리에 있습니다. 예를 들면, 다음과 같습니다.
    C:\Program Files\IBM\Rational\DOORS Web Access\version\win32\jre\lib\security
  2. 이 파일에서 제공자 목록에 다음 항목을 추가하십시오.
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. 다음 항목을 포함하도록 목록에 있는 다른 제공자의 번호를 다시 지정하십시오.
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. 파일을 저장하고 닫으십시오.
  5. 편집기에서 Apache Tomcat 시작 스크립트 파일을 여십시오.
    • Windows 시스템에서 server.start.bat 스크립트 파일은 DWA 설치 디렉토리에 있습니다. 예를 들면, 다음과 같습니다.
      C:\Program Files\IBM\Rational\DOORS Web Access\version
      파일의 맨 아래 근처에서 cd %CATALINA_HOME%\bin 항목 앞에 com.ibm.jsse2.usefipsprovider 매개변수를 지정하는 set JAVA_OPTS 항목을 추가하십시오.
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Linux 시스템에서 server.start.sh 스크립트 파일은 DWA 설치 디렉토리에 있습니다. export JAVA_OPTS 항목 앞에 com.ibm.jsse2.usefipsprovider 매개변수를 지정하는 JAVA_OPTS 항목을 추가하십시오.
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      
      export JAVA_OPTS
  6. 파일을 저장하고 닫으십시오.
  7. 편집기에서 Apache Tomcat server.xml 파일을 여십시오. 해당 파일은 server/conf 디렉토리의 DWA 설치에 있습니다. 예를 들면, 다음과 같습니다.
    C:\Program Files\IBM\Rational\DOORS Web Access\version\server\conf
  8. SSL 또는 TLS를 사용하도록 DWA 구성에서 설명된 HTTPS 커넥터 섹션에서 sslProtocol 값을 최소 TLS 버전으로 설정하십시오. 예를 들면, 다음과 같습니다.
    sslProtocol="TLS"
    이 설정은 서버와 특정 클라이언트 간의 통신 중에 가장 강력한 TLS 버전을 사용합니다.
  9. 암호 스위트를 설정하여 서버가 수락하는 항목을 추가로 제한하십시오. 예를 들면 다음과 같습니다.
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA,
        SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    지원되는 암호 스위트의 목록은 관련 정보에 있는 "IBM JSSE FIPS 암호 스위트"를 참조하십시오.

다음에 수행할 작업

Apache Tomcat 서버가 수락하는 최저 TLS 버전 이상을 사용하여 전송하도록 브라우저를 구성하십시오. Microsoft Internet Explorer에 TLS가 사용으로 설정되어 있지 않은 경우도 있을 수 있습니다. TLS를 사용으로 설정하려면 Internet Explorer를 열고 도구 > 인터넷 옵션을 클릭하십시오. 고급 탭에서 TLS version 사용을 선택하십시오. 여기서 version은 서버가 수락하는 최저 클라이언트 버전입니다.

FIPS 140-2에 의해 승인된 제공자를 사용하는 경우에는 인증서 및 키 저장소가 지원하는 알고리즘을 포함하는지 확인하십시오. 지원되는 키 및 서명 알고리즘의 목록은 "Java FIPS 승인 제공자 IBMJSSEFIPS 및 IBMJCEFIPS"를 참조하십시오.


비디오 아이콘 비디오

Jazz.net 채널
소프트웨어 교육 채널

학습 아이콘 교육 과정

IoT 아카데미
스킬 게이트웨이

질문 아이콘 커뮤니티

Jazz.net
Jazz.net 포럼
Jazz.net 라이브러리

지원 아이콘 지원

IBM 지원 센터 커뮤니티
배치 위키