Rational DOORS Web Access での FIPS 140-2 準拠の構成

Rational® DOORS® Web Access が、連邦情報処理標準 (FIPS) 140-2 レベル 1 に準拠して、セキュア・ソケット経由で通信するよう構成できます。この標準は、IT システム内の機密扱いでない情報を保護するセキュリティー・システムで使用される暗号モジュールが満たさなければならないセキュリティー要件を定義します。

このタスクについて

Rational DOORS Web Access は、IBMJSSE2 プロバイダーを Java™ Secure Socket Extension (JSSE) プロバイダーとして使用します。IBMJSSE2 では、暗号化および署名機能を Java Cryptography Extension (JCE) プロバイダーが代行するため、FIPS 140-2 の承認は必要ありません。Rational DOORS Web Access は、IBMJCEFIPS プロバイダーを使用してデータを暗号化します。IBMJCEFIPS は、FIPS 140-2 で承認されています。

Rational DOORS Web Access が IBMJCEFIPS プロバイダーを使用するよう構成するには、以下を実行します。
  • IBM® SDK java.security ファイルが、IBMJCEFIPS および IBMJCE プロバイダーを含み、IBM セキュア・ソケット・ライブラリーを指定するよう編集します。
  • Apache Tomcat 始動スクリプト・ファイルで、 FIPS 140-2 準拠設定を指定するシステム・プロパティーを設定するよう編集します。
  • HTTPS 通信が FIPS 140-2 でサポートされるプロトコルおよび暗号スイートに制限されるよう、Apache Tomcat サーバー構成ファイルを編集します。

手順

  1. java.security ファイルをエディターで開きます。 このファイルは、OS JRE ライブラリー内の Rational DOORS Web Access インストール・ディレクトリーにあります。例:
    C:¥Program Files (x86)¥IBM¥Rational¥DOORS Web Access¥1.5.0.1¥win32¥ibm-java-i386-60¥jre¥lib¥security
  2. ファイル内のプロバイダー・リストに以下の項目を追加します。
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. リスト内の他のプロバイダーを再番号付けし、以下の項目が含まれるようにします。
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. 以下の SocketFactory および ServerSocketFactory 項目からコメント・タグ (#) を削除し、セキュア・ソケット・ライブラリーを指定します。
    ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl
    ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl
  5. ファイルを保存して閉じます。
  6. Apache Tomcat 始動スクリプト・ファイルをエディターで開きます。
    • Windows システムでは、server.start.bat スクリプト・ファイルは、Rational DOORS Web Access インストール・ディレクトリーにあります。例:
      C:¥Program Files (x86)¥IBM¥Rational¥DOORS Web Access¥1.5.0.1
      ファイル下部付近の cd %CATALINA_HOME%¥bin 項目の前に、set JAVA_OPTS 項目を追加します。 その後、項目が以下のようになっているのを確認します。
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      
      cd %CATALINA_HOME%¥bin
      call ".¥startup.bat"
    • UNIX システムでは、server.start.sh スクリプト・ファイルは、Rational DOORS Web Access インストール・ディレクトリーにあります。export JAVA_OPTS 項目の前に、JAVA_OPTS 項目を追加します。 その後、項目が以下のようになっているのを確認します。
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      
      export JAVA_OPTS
  7. ファイルを保存して閉じます。
  8. Apache Tomcat server.xml ファイルをエディターで開きます。 このファイルは、Rational DOORS Web Access インストールの server/confディレクトリーにあります。例:
    C:¥Program Files (x86)¥IBM¥Rational¥DOORS Web Access¥1.5.0.1¥server¥conf
  9. sslProtocol の値を最小の TLS バージョンに設定します。例:
    sslProtocol="TLS"
    この設定では、サーバーと特定クライアントの間の通信で最も強力な TLS バージョンが使用されます。
  10. 暗号スイートを FIPS 140-2 準拠の暗号に設定します。例:
    ciphers="SSL_RSA_WITH_AES_256_CBC_SHA"
    サポートされる暗号スイートのリストについては、以下の関連情報のリンクの『IBM JSSE FIPS 暗号スイート』を参照してください。

次のタスク

少なくとも Apache Tomcat サーバーが受け入れる最小の TLS バージョンを送信するようブラウザーを構成します。Microsoft Internet Explorer で TLS が使用可能でない場合があります。TLS を使用可能にするには、Internet Explorer を開いて、 「ツール」 > 「インターネット オプション」とクリックします。「詳細設定」タブで、 「TLS version の使用」オプションを選択します。この TLS バージョンは、サーバーが受け入れる最小のクライアント・バージョンです。

FIPS 140-2 が承認するプロバイダーを使用する場合、証明書と鍵ストアに、サポートされるアルゴリズムが組み込まれていることを確認してください。サポートされる鍵および署名アルゴリズムのリストについては、『Java FIPS 承認プロバイダー IBMJSSEFIPS および IBMJCEFIPS』を参照してください。


フィードバック