Configuration de la conformité à FIPS 140-2 dans Rational DOORS Web Access

Vous pouvez configurer Rational DOORS Web Access en vue de communiquer via une connexion sécurisée, conformément à la norme FIPS (Federal Information Processing Standard) 140-2 niveau 1. Cette norme définit les exigences de sécurité qu'un module cryptographique utilisé dans un système de sécurité doit satisfaire pour protéger les informations non classifiées dans les systèmes informatiques.

Pourquoi et quand exécuter cette tâche

Rational DOORS Web Access utilise le fournisseur IBMJSSE2 en tant que fournisseur JSSE (Java Secure Socket Extension). IBMJSSE2 n'a pas besoin d'approbation FIPS 140-2 car il délègue les fonctions de chiffrement et de signature à un fournisseur JCE (Java Cryptography Extension). Rational DOORS Web Access utilise le fournisseur IBMJCEFIPS pour chiffrer des données. IBMJCEFIPS est approuvé pour FIPS 140-2.

Pour configurer Rational DOORS Web Access en vue d'utiliser le fournisseur IBMJCEFIPS :
  • Editez le fichier IBM SDK java.security pour inclure les fournisseurs IBMJCEFIPS et IBMJCE, et pour spécifier la bibliothèque de connexions sécurisées IBM.
  • Editez le fichier de script de démarrage Apache Tomcat pour définir la propriété système qui spécifie le paramètre conforme à FIPS 140-2.
  • Editez le fichier de configuration du serveur Apache Tomcat pour restreindre la communication https aux protocoles et aux algorithmes de cryptographie pris en charge par FIPS 140-2.

Procédure

  1. Ouvrez le fichier java.security dans un éditeur. Ce fichier se trouve dans le répertoire d'installation de Rational DOORS Web Access, dans la bibliothèque JRE du système d'exploitation. Par exemple :
    C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\win32\ibm-java-i386-60\jre\lib\security
  2. Dans le fichier, ajoutez les entrées suivantes à la liste de fournisseurs :
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. Renumérotez les autres fournisseurs de la liste afin d'inclure les entrées suivantes :
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. Supprimez les balises de commentaires (#) de ces entrées SocketFactory et ServerSocketFactory, puis indiquez les bibliothèques de connexions sécurisées :
    ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl
    ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl
  5. Enregistrez et fermez le fichier.
  6. Ouvrez le fichier de script de démarrage Apache Tomcat dans un éditeur.
    • Sur les systèmes Windows, le fichier de script server.start.bat se trouve dans le répertoire d'installation de Rational DOORS Web Access. Par exemple :
      C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1
      Vers la fin du fichier, avant l'entrée cd %CATALINA_HOME%\bin, ajoutez l'entrée set JAVA_OPTS. Vérifiez ensuite que les entrées s'affichent comme suit :
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Sur les systèmes UNIX, le fichier de script server.start.sh se trouve dans le répertoire d'installation de Rational DOORS Web Access. Avant l'entrée export JAVA_OPTS, ajoutez l'entrée JAVA_OPTS. Vérifiez ensuite que les entrées s'affichent comme suit :
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      
      export JAVA_OPTS
  7. Enregistrez et fermez le fichier.
  8. Ouvrez le fichier Apache Tomcat server.xml dans un éditeur. Ce fichier se trouve dans le répertoire d'installation de Rational DOORS Web Access, dans le répertoire server/conf. Par exemple :
    C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  9. Définissez la valeur sslProtocol sur la version TLS minimale, par exemple :
    sslProtocol="TLS"
    Ce paramètre utilise la version TLS la plus solide lors de la communication entre le serveur et un client spécifique.
  10. Définissez les algorithmes de cryptographie sur un chiffrement conforme à FIPS 140-2. Par exemple :
    ciphers=”SSL_RSA_WITH_AES_256_CBC_SHA”
    Pour obtenir une liste des algorithmes de cryptographie pris en charge, voir "IBM JSSE FIPS Cipher Suites" dans les liens d'informations connexes ci-dessous.

Que faire ensuite

Configurez le navigateur en vue d'envoyer au moins la version TLS minimale que le serveur Apache Tomcat accepte. Il se peut que Microsoft Internet Explorer n'ait pas activé TLS. Pour activer TLS, ouvrez Internet Explorer et cliquez sur Outils > Options Internet. Dans l'onglet Avancé, sélectionnez l'option Utiliser TLS version, où la version TLS correspond à la version client minimale que le serveur accepte.

Si vous utilisez des fournisseurs approuvés par FIPS 140-2, vérifiez que les certificats et les fichiers de clés incluent des algorithmes pris en charge. Pour obtenir une liste des clés et des algorithmes de signature pris en charge, voir "The Java FIPS-approved providers, IBMJSSEFIPS and IBMJCEFIPS".


Feedback