可以配置 Rational DOORS Web Access 以通过符合联邦信息处理标准 (FIPS) 140-2 级别 1 的安全套接字进行通信。该标准定义了安全系统中使用的密码模块必须满足的安全要求,以保护 IT 系统中的未分类信息。
关于此任务
Rational DOORS Web Access 使用 IBMJSSE2 提供程序作为 Java 安全套接字扩展 (JSSE) 提供程序。IBMJSSE2 不需要 FIPS 140-2 批准,因为它将加密和签名功能委派给 Java 密码术扩展 (JCE) 提供程序。 Rational DOORS Web Access 使用 IBMJCEFIPS 提供程序来加密数据。对于 FIPS 140-2,IBMJCEFIPS 获得了批准。
要将 Rational DOORS Web Access 配置为使用 IBMJCEFIPS 提供程序:
- 编辑 IBM SDK java.security 文件以包含 IBMJCEFIPS 和 IBMJCE 提供程序以及指定 IBM 安全套接字库。
- 编辑 Apache Tomcat 启动脚本文件以设置某个系统属性,该属性指定符合 FIPS 140-2 的设置。
- 编辑 Apache Tomcat 服务器配置文件以将 https 通信限制为 FIPS 140-2 所支持的协议和密码套件。
过程
- 在编辑器中打开 java.security 文件。 该文件位于 Rational DOORS Web Access 安装目录中的 OS JRE 库中;例如
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\win32\ibm-java-i386-60\jre\lib\security
- 在该文件中,将以下条目添加到提供程序列表中:
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
- 将列表中的其他提供程序重新编号,以便列表中包括以下条目:
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
security.provider.4=com.ibm.crypto.provider.IBMJCE
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.security.sasl.IBMSASL
security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.10=org.apache.harmony.security.provider.PolicyProvider
security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
- 从 SocketFactory 和 ServerSocketFactory 条目中移除注释标记 (#),然后指定安全套接字库:
ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl
ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl
- 保存并关闭该文件。
- 在编辑器中打开 Apache Tomcat 启动脚本文件。
- 在 Windows 系统上,server.start.bat 脚本文件位于 Rational DOORS Web Access 安装目录中;例如
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1
在文件底部附近,在 cd %CATALINA_HOME%\bin 条目之前,添加 set JAVA_OPTS 条目。然后,确保条目显示如下:set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true
cd %CATALINA_HOME%\bin
call ".\startup.bat"
- 在 UNIX 系统上,server.start.sh 脚本文件位于 Rational DOORS Web Access 安装目录中。
在 export JAVA_OPTS 条目之前,添加 JAVA_OPTS 条目。
然后,确保条目显示如下:
JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true
export JAVA_OPTS
- 保存并关闭该文件。
- 在编辑器中打开 Apache Tomcat 的 server.xml 文件。该文件位于 Rational DOORS Web Access 安装中的 server/conf 目录中;例如
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
- 将 sslProtocol 值设置为 TLS 最低版本;例如:
sslProtocol="TLS"
该设置在服务器和特定客户机的通信期间使用最强的 TLS 版本。
- 将密码套件设置为符合 FIPS 140-2 的密码;例如:
ciphers=”SSL_RSA_WITH_AES_256_CBC_SHA”
有关受支持密码套件的列表,请参阅以下相关信息链接中的“IBM JSSE FIPS 密码套件”。
下一步做什么
配置浏览器以至少发送 Apache Tomcat 服务器接受的 TLS 最低版本。Microsoft Internet
Explorer 可能未启用 TLS。要启用 TLS,请打开 Internet Explorer,然后单击。在高级选项卡上,选择使用 TLS version 选项,其中的 TLS 版本是服务器接受的最低客户机版本。
如果使用 FIPS 140-2 批准的提供程序,请确保证书和密钥库包括受支持的算法。有关受支持密钥和签名算法的列表,请参阅“经过 FIPS 批准的 Java 提供程序、IBMJSSEFIPS 和 IBMJCEFIPS”。