Rational DOORS Web Access が、連邦情報処理標準 (FIPS) 140-2 レベル 1 に準拠して、セキュア・ソケット経由で通信するよう構成できます。この標準は、IT システム内の機密扱いでない情報を保護するセキュリティー・システムで使用される暗号モジュールが満たさなければならないセキュリティー要件を定義します。
このタスクについて
Rational DOORS Web Access は、IBMJSSE2 プロバイダーを
Java Secure Socket Extension (JSSE) プロバイダーとして使用します。IBMJSSE2 では、暗号化および署名機能を Java Cryptography Extension (JCE) プロバイダーが代行するため、
FIPS 140-2 の承認は必要ありません。Rational
DOORS Web Access は、IBMJCEFIPS プロバイダーを使用してデータを暗号化します。IBMJCEFIPS
は、FIPS 140-2 で承認されています。
Rational DOORS Web Access が IBMJCEFIPS プロバイダーを使用するよう構成するには、以下を実行します。
- IBM SDK java.security ファイルが、
IBMJCEFIPS および IBMJCE プロバイダーを含み、IBM セキュア・ソケット・ライブラリーを指定するよう編集します。
- Apache Tomcat 始動スクリプト・ファイルで、
FIPS 140-2 準拠設定を指定するシステム・プロパティーを設定するよう編集します。
- HTTPS 通信が FIPS 140-2 でサポートされるプロトコルおよび暗号スイートに制限されるよう、Apache Tomcat サーバー構成ファイルを編集します。
手順
- java.security ファイルをエディターで開きます。 このファイルは、OS JRE ライブラリー内の Rational DOORS Web
Access インストール・ディレクトリーにあります。例:
C:¥Program Files (x86)¥IBM¥Rational¥DOORS Web Access¥1.5.0.1¥win32¥ibm-java-i386-60¥jre¥lib¥security
- ファイル内のプロバイダー・リストに以下の項目を追加します。
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
- リスト内の他のプロバイダーを再番号付けし、以下の項目が含まれるようにします。
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
security.provider.4=com.ibm.crypto.provider.IBMJCE
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.security.sasl.IBMSASL
security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.10=org.apache.harmony.security.provider.PolicyProvider
security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
- 以下の SocketFactory および ServerSocketFactory 項目からコメント・タグ (#) を削除し、セキュア・ソケット・ライブラリーを指定します。
ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl
ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl
- ファイルを保存して閉じます。
- Apache Tomcat 始動スクリプト・ファイルをエディターで開きます。
- Windows システムでは、server.start.bat スクリプト・ファイルは、
Rational DOORS Web Access インストール・ディレクトリーにあります。例:
C:¥Program Files (x86)¥IBM¥Rational¥DOORS Web Access¥1.5.0.1
ファイル下部付近の cd %CATALINA_HOME%¥bin 項目の前に、set JAVA_OPTS 項目を追加します。
その後、項目が以下のようになっているのを確認します。
set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true
cd %CATALINA_HOME%¥bin
call ".¥startup.bat"
- UNIX システムでは、server.start.sh スクリプト・ファイルは、
Rational DOORS Web Access インストール・ディレクトリーにあります。
export JAVA_OPTS 項目の前に、JAVA_OPTS 項目を追加します。
その後、項目が以下のようになっているのを確認します。
JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true
export JAVA_OPTS
- ファイルを保存して閉じます。
- Apache Tomcat server.xml ファイルをエディターで開きます。
このファイルは、Rational DOORS Web Access インストールの server/conf ディレクトリーにあります。例:
C:¥Program Files (x86)¥IBM¥Rational¥DOORS Web Access¥1.5.0.1¥server¥conf
- sslProtocol の値を最小の TLS バージョンに設定します。例:
sslProtocol="TLS"
この設定では、サーバーと特定クライアントの間の通信で最も強力な TLS バージョンが使用されます。
- 暗号スイートを FIPS 140-2 準拠の暗号に設定します。例:
ciphers=”SSL_RSA_WITH_AES_256_CBC_SHA”
サポートされる暗号スイートのリストについては、
以下の関連情報のリンクの『IBM JSSE FIPS 暗号スイート』を参照してください。
次のタスク
少なくとも Apache Tomcat サーバーが受け入れる最小の TLS バージョンを送信するようブラウザーを構成します。Microsoft Internet Explorer で TLS が使用可能でない場合があります。TLS を使用可能にするには、Internet Explorer を開いて、
とクリックします。「詳細設定」タブで、
「TLS version の使用」オプションを選択します。この TLS バージョンは、サーバーが受け入れる最小のクライアント・バージョンです。
FIPS 140-2 が承認するプロバイダーを使用する場合、証明書と鍵ストアに、サポートされるアルゴリズムが組み込まれていることを確認してください。サポートされる鍵および署名アルゴリズムのリストについては、
『Java FIPS 承認プロバイダー IBMJSSEFIPS および IBMJCEFIPS』を参照してください。