Configuración del cumplimiento para FIPS 140-2 en Rational DOORS Web Access

Puede configurar Rational DOORS Web Access para comunicarse a través de sockets seguros de acuerdo con Federal Information Processing Standard (FIPS) 140-2 Level 1. Este estándar define los requisitos de seguridad que debe cumplir un módulo criptográfico utilizado en un sistema de seguridad para proteger información sin clasificar en los sistemas de TI.

Acerca de esta tarea

Rational DOORS Web Access utiliza el proveedor IBMJSSE2 como proveedor de Java Secure Socket Extension (JSSE). IBMJSSE2 no necesita aprobación FIPS 140-2 porque delega funciones de cifrado y firma a un proveedor de Java Cryptography Extension (JCE). Rational DOORS Web Access utiliza el proveedor IBMJCEFIPS para cifrar datos. IBMJCEFIPS está aprobado para FIPS 140-2.

Para configurar Rational DOORS Web Access para utilizar el proveedor IBMJCEFIPS:
  • Edite el archivo java.security de IBM SDK para incluir los proveedores IBMJCEFIPS e IBMJCE y especificar la biblioteca de sockets seguros de IBM.
  • Edite el archivo de script de inicio Apache Tomcat para establecer la propiedad del sistema que especifica el valor compatible con FIPS 140-2.
  • Edite el archivo de configuración del servidor Apache Tomcat para restringir la comunicación de https a protocolos y paquetes de cifrado admitidos por FIPS 140-2.

Procedimiento

  1. Abra el archivo java.security en un editor. Este archivo está en el directorio de instalación de Rational DOORS Web Access de la biblioteca OS JRE; por ejemplo,
    C:\Archivos de programa (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\win32\ibm-java-i386-60\jre\lib\security
  2. En el archivo, añada estas entradas a la lista de proveedores:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. Vuelva a numerar el resto de los proveedores de la lista, para que incluya estas entradas:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. Elimine las etiquetas de comentarios (#) de estas entradas SocketFactory y ServerSocketFactory y, a continuación, especifique las bibliotecas de sockets seguros:
    ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl
    ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl
  5. Guarde y cierre el archivo.
  6. Abra el archivo de script de inicio de Apache Tomcat en un editor.
    • En los sistemas Windows, el archivo de script server.start.bat está en el directorio de instalación de Rational DOORS Web Access; por ejemplo,
      C:\Archivos de programa (x86)\IBM\Rational\DOORS Web Access\1.5.0.1
      Hacia el final del archivo, antes de la entrada cd %CATALINA_HOME%\bin, añada la entrada set JAVA_OPTS. Asegúrese de que las entradas se muestren de la siguiente manera:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • En sistemas UNIX, el archivo de script server.start.sh se encuentra en el directorio de instalación de Rational DOORS Web Access. Antes de la entrada export JAVA_OPTS, añada la entrada JAVA_OPTS. Asegúrese de que las entradas se muestren de la siguiente manera:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      
      export JAVA_OPTS
  7. Guarde y cierre el archivo.
  8. Abra el archivo server.xml de Apache Tomcat en un editor. Este archivo está en la instalación de Rational DOORS Web Access en el directorio server/conf; por ejemplo,
    C:\Archivos de programa (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  9. Establezca el valor sslProtocol en la versión TLS mínima; por ejemplo:
    sslProtocol="TLS"
    Este valor utiliza la versión TLS más potente durante la comunicación entre el servidor y un cliente específico.
  10. Establezca los paquetes de cifrado en cifrados compatibles con FIPS 140-2; por ejemplo:
    ciphers=”SSL_RSA_WITH_AES_256_CBC_SHA”
    Para obtener una lista de paquetes de cifrado admitidos, consulte "IBM JSSE FIPS Cipher Suites" en los enlaces de información relacionada que aparecen a continuación.

Qué hacer a continuación

Configure el navegador para enviar al menos la versión TLS mínima que acepte el servidor Apache Tomcat. Puede que Microsoft Internet Explorer no tenga TLS habilitado. Para habilitar TLS, abra Internet Explorer y pulse Herramientas > Opciones de Internet. En el separador Avanzado, seleccione Utilizar la opción de versión TLS, en la que la versión TLS es la versión de cliente mínima que acepta el servidor.

Si utiliza proveedores aprobados por FIPS 140-2, asegúrese de que los certificados y almacenes de claves incluyan algoritmos admitidos. Para obtener una lista de algoritmos de firma y clave admitidos, consulte "Los proveedores aprobados de Java FIPS, IBMJSSEFIPS e IBMJCEFIPS".


Comentarios