Configurando a conformidade para o FIPS 140-2 no DWA

É possível configurar o IBM® Engineering Requirements Management DOORS - Web Access (DWA) para comunicação por meio de soquetes seguros em conformidade com o Federal Information Processing Standard (FIPS) 140-2 Nível 1. Esse padrão define os requisitos de segurança que devem ser satisfeitos por um módulo criptográfico que é usado em um sistema de segurança para proteger informações não classificadas em sistemas de TI.

Sobre Esta Tarefa

O DWA usa o provedor IBMJSSE2 como o provedor Java™ Secure Socket Extension (JSSE). O IBMJSSE2 não precisa da aprovação FIPS 140-2 porque delega as funções de criptografia e assinatura a um provedor Java Cryptography Extension (JCE). O DWA usa o provedor IBMJCEFIPS para criptografar dados. IBMJCEFIPS é aprovado para FIPS 140-2.

A configuração do DWA para usar o provedor IBMJCEFIPS envolve estas etapas:
  • Edite o arquivo IBM SDK java.security para incluir os provedores IBMJCEFIPS e IBMJCE e para especificar a biblioteca de soquetes seguros IBM.
  • Edite o arquivo de script de inicialização Apache Tomcat para configurar a propriedade de sistema que especifica a configuração compatível com FIPS 140-2.
  • Edite o arquivo de configuração do servidor Apache Tomcat para restringir a comunicação https a protocolos e conjuntos de cifras que sejam suportados por FIPS 140-2.

Procedimento

  1. Abra o arquivo java.security em um editor. Esse arquivo está no diretório de instalação do DWA na biblioteca JRE do S.O.; por exemplo,
    C:\Program Files\IBM\Rational\DOORS Web Access\version\win32\jre\lib\security
  2. No arquivo, inclua estas entradas na lista de provedores:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. Renumere os outros provedores na lista para que ela inclua estas entradas:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. Salve e feche o arquivo.
  5. Abra o arquivo de script de inicialização do Apache Tomcat em um editor.
    • Nos sistemas Windows, o arquivo de script server.start.bat está no diretório de instalação do DWA; por exemplo,
      C:\Program Files\IBM\Rational\DOORS Web Access\version
      Próximo ao final do arquivo, antes da entrada cd %CATALINA_HOME%\bin, inclua a entrada set JAVA_OPTS para o parâmetro com.ibm.jsse2.usefipsprovider:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Em sistemas Linux, o arquivo de script server.start.sh está no diretório de instalação do DWA. Antes da entrada export JAVA_OPTS, inclua a entrada JAVA_OPTS para o parâmetro com.ibm.jsse2.usefipsprovider:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      
      export JAVA_OPTS
  6. Salve e feche o arquivo.
  7. Abra o arquivo server.xml do Apache Tomcat em um editor. Esse arquivo está na instalação do DWA no diretório server/conf; por exemplo,
    C:\Program Files\IBM\Rational\DOORS Web Access\version\server\conf
  8. Na seção do conector HTTPS, que está descrita em Configurando o DWA para usar SSL ou TLS, configure o valor sslProtocol para a versão mínima do TLS; por exemplo:
    sslProtocol="TLS"
    Essa configuração usa a versão mais segura do TLS durante a comunicação entre o servidor e um cliente específico.
  9. Configure os conjuntos de cifras para restringir ainda mais o que o servidor aceitará; por exemplo:
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA,
        SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    Para obter uma lista de conjuntos de cifras suportados, consulte "Conjuntos de CifrasIBM JSSE FIPS" nas Informações relacionados.

O que Fazer Depois

Configure o navegador para enviar pelo menos a versão mínima do TLS aceita pelo servidor Apache Tomcat. É possível que o TLS não esteja ativado no Microsoft Internet Explorer. Para ativar o TLS, abra o Internet Explorer e clique em Ferramentas > Opções de Internet. Na guia Avançado, selecione Usar TLS versão, em que versão é a versão mínima de cliente aceita pelo servidor.

Se você usar provedores aprovados por FIPS 140-2, assegure-se de que os certificados e os armazenamentos de chaves incluam algoritmos suportados. Para obter uma lista de algoritmos de chave e de assinatura suportados, consulte "Os Provedores Java Aprovados por FIPS, IBMJSSEFIPS e IBMJCEFIPS".


ícone de vídeo Vídeo

Canal do Jazz.net
Canal Software Education

ícone de aprendizado Cursos

IoT Academy
Skills Gateway

ícone de pergunta Comunidade

Jazz.net
Fóruns do Jazz.net
Biblioteca do Jazz.net

ícone de suporte Suporte

Comunidade de Suporte IBM
Wiki de implementação