Sie können Rational DOORS Web Access so konfigurieren, dass die Kommunikation
über sichere Sockets unter Einhaltung von Federal Information Processing Standard (FIPS) 140-2 Level 1 erfolgt.
Dieser Standard definiert die Sicherheitsanforderungen, die ein Verschlüsselungsmodul
erfüllen muss, das in einem Sicherheitssystem für den Schutz nicht klassifizierter Informationen
in IT-Systemen verwendet wird.
Informationen zu diesem Vorgang
Rational DOORS Web Access verwendet den IBMJSSE2-Provider als
JSSE-Provider (JSSE = Java Secure Socket Extension). IBMJSSE2 erfordert keine
FIPS 140-2-Genehmigung, da die Verschlüsselung und Signaturfunktionen an einen
JCE-Provider delegiert werden (JCE = Java Cryptography Extension).
Rational DOORS Web Access verwendet den IBMJCEFIPS-Provider für die Datenverschlüsselung.
IBMJCEFIPS ist für FIPS 140-2 genehmigt.
Gehen Sie wie folgt vor, um Rational DOORS Web Access für die Verwendung des IBMJCEFIPS-Providers zu konfigurieren:
- Bearbeiten Sie die IBM SDK-Datei java.security. Fügen Sie dort die
Provider IBMJCEFIPS und IBMJCE ein und geben Sie die IBM Secure Sockets Library an.
- Bearbeiten Sie die Apache Tomcat-Startscriptdatei. Legen Sie dort die Systemeigenschaft fest,
die die FIPS 140-2-konforme Einstellung angibt.
- Bearbeiten Sie die Apache Tomcat-Serverkonfigurationsdatei. Schränken Sie die HTTPS-Kommunikation
auf Protokolle und Cipher-Suites ein, die von FIPS 140-2 unterstützt werden.
Vorgehensweise
- Öffnen Sie die Datei java.security in einem Editor. Die Datei befindet sich im Installationsverzeichnis von Rational DOORS Web
Access in der OS JRE-Bibliothek. Beispiel:
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\win32\ibm-java-i386-60\jre\lib\security
- Fügen Sie in der Datei die folgenden Einträge zur Liste der Provider hinzu:
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
- Nummerieren Sie die anderen Provider in der Liste um, sodass sie folgende Einträge enthält:
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
security.provider.4=com.ibm.crypto.provider.IBMJCE
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.security.sasl.IBMSASL
security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.10=org.apache.harmony.security.provider.PolicyProvider
security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
- Entfernen Sie die Kommentarbefehle (#) bei diesen SocketFactory- und
ServerSocketFactory-Einträgen und geben Sie die Bibliotheken für sichere Sockets an:
ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl
ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl
- Speichern und schließen Sie die Datei.
- Öffnen Sie die Apache Tomcat-Startscriptdatei in einem Editor.
- Auf Windows-Systemen befindet sich die Scriptdatei server.start.bat im
Installationsverzeichnis von Rational DOORS Web Access. Beispiel:
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1
Fügen Sie in
der Nähe des Dateiendes vor dem Eintrag cd %CATALINA_HOME%\bin den Eintrag
set JAVA_OPTS hinzu. Vergewissern Sie sich anschließend, dass die Einträge wie folgt
aussehen: set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true
cd %CATALINA_HOME%\bin
call ".\startup.bat"
- Auf UNIX-Systemen befindet sich die Scriptdatei server.start.sh im
Installationsverzeichnis von Rational DOORS Web Access.
Fügen Sie vor dem Eintrag export JAVA_OPTS den Eintrag JAVA_OPTS ein.
Vergewissern Sie sich anschließend, dass die Einträge wie folgt
aussehen:
JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true
export JAVA_OPTS
- Speichern und schließen Sie die Datei.
- Öffnen Sie die Apache Tomcat-Datei server.xml in einem Editor.
Diese Datei befindet sich bei der Rational DOORS Web Access-Installation im Verzeichnis
server/conf. Beispiel:
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
- Legen Sie den sslProtocol-Wert auf die mindestens erforderliche TLS-Version fest. Beispiel:
sslProtocol="TLS"
Diese Einstellung verwendet die
sicherste TLS-Version bei der Kommunikation zwischen dem Server und einem bestimmten Client.
- Legen Sie für die Cipher-Suites FIPS 140-2-konforme Verschlüsselungen fest. Beispiel:
ciphers=”SSL_RSA_WITH_AES_256_CBC_SHA”
Eine Liste
unterstützter Cipher-Suites finden Sie unter "IBM JSSE FIPS Cipher Suites"
in den unten angegebenen Links mit zugehörigen Informationen.
Nächste Schritte
Konfigurieren Sie den Browser so, dass er die mindestens erforderliche
TLS-Version sendet, die vom Apache Tomcat-Server akzeptiert wird.
Bei Microsoft Internet Explorer ist TLS möglicherweise nicht aktiviert.
Um TLS zu aktivieren, öffnen Sie Internet Explorer und klicken Sie auf
.
Wählen Sie auf der Registerkarte Erweitert die Option
TLS version verwenden aus. Dabei ist
die TLS-Version die mindestens erforderliche Clientversion, die der Server akzeptiert.
Wenn Sie Provider verwenden, die von FIPS 140-2 genehmigt sind, stellen Sie sicher,
dass die Zertifikate und Keystores die unterstützten Algorithmen beinhalten.
Eine Liste der unterstützten Schlüssel und Signaturalgorithmen finden Sie im Abschnitt
zu den von Java FIPS genehmigten Providern IBMJSSEFIPS und IBMJCEFIPS (The Java FIPS-approved providers, IBMJSSEFIPS
and IBMJCEFIPS).