在 Rational DOORS Web Access 中配置对 FIPS 140-2 的合规性

可以配置 Rational DOORS Web Access 以通过符合联邦信息处理标准 (FIPS) 140-2 级别 1 的安全套接字进行通信。该标准定义了安全系统中使用的密码模块必须满足的安全要求,以保护 IT 系统中的未分类信息。

关于此任务

Rational DOORS Web Access 使用 IBMJSSE2 提供程序作为 Java 安全套接字扩展 (JSSE) 提供程序。IBMJSSE2 不需要 FIPS 140-2 批准,因为它将加密和签名功能委派给 Java 密码术扩展 (JCE) 提供程序。 Rational DOORS Web Access 使用 IBMJCEFIPS 提供程序来加密数据。对于 FIPS 140-2,IBMJCEFIPS 获得了批准。

要将 Rational DOORS Web Access 配置为使用 IBMJCEFIPS 提供程序:
  • 编辑 IBM SDK java.security 文件以包含 IBMJCEFIPS 和 IBMJCE 提供程序以及指定 IBM 安全套接字库。
  • 编辑 Apache Tomcat 启动脚本文件以设置某个系统属性,该属性指定符合 FIPS 140-2 的设置。
  • 编辑 Apache Tomcat 服务器配置文件以将 https 通信限制为 FIPS 140-2 所支持的协议和密码套件。

过程

  1. 在编辑器中打开 java.security 文件。 该文件位于 Rational DOORS Web Access 安装目录中的 OS JRE 库中;例如
    C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\win32\ibm-java-i386-60\jre\lib\security
  2. 在该文件中,将以下条目添加到提供程序列表中:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. 将列表中的其他提供程序重新编号,以便列表中包括以下条目:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. 从 SocketFactory 和 ServerSocketFactory 条目中移除注释标记 (#),然后指定安全套接字库:
    ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl
    ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl
  5. 保存并关闭该文件。
  6. 在编辑器中打开 Apache Tomcat 启动脚本文件。
    • 在 Windows 系统上,server.start.bat 脚本文件位于 Rational DOORS Web Access 安装目录中;例如
      C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1
      在文件底部附近,在 cd %CATALINA_HOME%\bin 条目之前,添加 set JAVA_OPTS 条目。然后,确保条目显示如下:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • 在 UNIX 系统上,server.start.sh 脚本文件位于 Rational DOORS Web Access 安装目录中。 在 export JAVA_OPTS 条目之前,添加 JAVA_OPTS 条目。 然后,确保条目显示如下:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      
      export JAVA_OPTS
  7. 保存并关闭该文件。
  8. 在编辑器中打开 Apache Tomcat 的 server.xml 文件。该文件位于 Rational DOORS Web Access 安装中的 server/conf 目录中;例如
    C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  9. sslProtocol 值设置为 TLS 最低版本;例如:
    sslProtocol="TLS"
    该设置在服务器和特定客户机的通信期间使用最强的 TLS 版本。
  10. 将密码套件设置为符合 FIPS 140-2 的密码;例如:
    ciphers=”SSL_RSA_WITH_AES_256_CBC_SHA”
    有关受支持密码套件的列表,请参阅以下相关信息链接中的“IBM JSSE FIPS 密码套件”。

下一步做什么

配置浏览器以至少发送 Apache Tomcat 服务器接受的 TLS 最低版本。Microsoft Internet Explorer 可能未启用 TLS。要启用 TLS,请打开 Internet Explorer,然后单击工具 > Internet 选项。在高级选项卡上,选择使用 TLS version 选项,其中的 TLS 版本是服务器接受的最低客户机版本。

如果使用 FIPS 140-2 批准的提供程序,请确保证书和密钥库包括受支持的算法。有关受支持密钥和签名算法的列表,请参阅“经过 FIPS 批准的 Java 提供程序、IBMJSSEFIPS 和 IBMJCEFIPS”。


反馈