Настройка соответствия FIPS 140-2 в Rational DOORS Web Access

Rational DOORS Web Access можно настроить для взаимодействия с использованием защищенных сокетов в соответствии с Федеральным стандартом обработки информации (FIPS) 140-2 уровня 1. Этот стандарт определяет требования безопасности, которым должен отвечать криптографический модуль, используемый в системе безопасности для защиты неклассифицированной информации в ИТ-системах.

Об этой задаче

Rational DOORS Web Access использует провайдер IBMJSSE2 как провайдер Java™ Secure Socket Extension (JSSE). IBMJSSE2 не требует утверждения FIPS 140-2, так как делегирует функции шифрования и подписания провайдеру Java Cryptography Extension (JCE). Rational DOORS Web Access использует для шифрования данных провайдер IBMJCEFIPS. IBMJCEFIPS утвержден для FIPS 140-2.

Для настройки Rational DOORS Web Access для использования провайдера IBMJCEFIPS выполните следующие действия:
  • Укажите в файле IBM® SDK java.security провайдеры IBMJCEFIPS и IBMJCE, а также библиотеку защищенных сокетов IBM.
  • В файле сценария запуска Apache Tomcat задайте значение системного свойства, которое указывает на соответствие FIPS 140-2.
  • Ограничьте в файле конфигурации сервера Apache Tomcat взаимодействие по https теми протоколами и комплектами шифров, которые поддерживаются FIPS 140-2.

Процедура

  1. Откройте файл java.security в редакторе. Файл находится в подкаталоге библиотеки JRE операционной системы каталога установки Rational DOORS Web Access. Пример:
    C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\win32\ibm-java-i386-60\jre\lib\security
  2. Добавьте в файл следующие записи с перечислением провайдеров:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. Перенумеруйте остальные провайдеры в списке таким образом чтобы он содержал следующие записи:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. Удалите теги комментариев (#) из указанных ниже записей SocketFactory и ServerSocketFactory, а затем укажите такие библиотеки сокетов:
    ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl
    ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl
  5. Сохраните и закройте файл.
  6. Откройте файл сценария запуска Apache Tomcat в редакторе.
    • В системах Windows файл сценария server.start.bat находится в каталоге установки Rational DOORS Web Access. Пример:
      C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1
      В нижней части файла перед записью cd %CATALINA_HOME%\bin добавьте запись set JAVA_OPTS. Затем убедитесь, что записи выглядят так:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • В системах UNIX файл сценария server.start.sh находится в каталоге установки Rational DOORS Web Access. Перед записью export JAVA_OPTS добавьте запись JAVA_OPTS. Затем убедитесь, что записи выглядят так:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      
      export JAVA_OPTS
  7. Сохраните и закройте файл.
  8. Откройте файл Apache Tomcat server.xml в редакторе. Этот файл находится в подкаталоге server/conf каталога установки Rational DOORS Web Access. Пример:
    C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  9. Присвойте параметру sslProtocol значение минимальной версии TLS. Пример:
    sslProtocol="TLS"
    В этом параметре указана самая строгая версия TLS, используемая при взаимодействии между сервером и определенным клиентом.
  10. Укажите наборы шифров, совместимые с FIPS 140-2. Пример:
    ciphers="SSL_RSA_WITH_AES_256_CBC_SHA"
    Список поддерживаемых комплектов шифров можно найти по ссылке "Комплекты шифров IBM JSSE FIPS" в разделе ссылок на связанную информацию.

Дальнейшие действия

Настройте браузер на отправку по крайней мере минимальной версии TLS, которую принимает сервер Apache Tomcat. В Microsoft Internet Explorer TLS может быть не включен. Для включения TLS откройте Internet Explorer и в нем откройте меню Сервис > Свойства обозревателя. На вкладке Дополнительно включите переключатель Использовать TLS версия, где версия TLS - минимальная клиентская версия, принимаемая сервером.

Если вы используете провайдеры, утвержденные FIPS 140-2, убедитесь, что сертификаты и хранилища ключей содержат поддерживаемые алгоритмы. Список поддерживаемых алгоритмов шифрования и подписания приведен в разделе "Провайдеры Java, утвержденные FIPS: IBMJSSEFIPS и IBMJCEFIPS".


Комментарии