Configurando a Conformidade com o FIPS 140-2 no Rational DOORS Web Access

É possível configurar o IBM® Rational DOORS Web Access para se comunicar por meio de soquetes seguros que devem estar em conformidade com o Federal Information Processing Standard (FIPS) 140-2 Nível 1. Esse padrão define os requisitos de segurança que devem ser atendidos por um módulo criptográfico usado em um sistema de segurança para proteger informações confidenciais em sistemas de TI.

Sobre Esta Tarefa

O Rational DOORS Web Access usa o provedor IBMJSSE2 como o provedor Java™ Secure Socket Extension (JSSE). O IBMJSSE2 não precisa da aprovação FIPS 140-2 porque delega as funções de criptografia e assinatura a um provedor Java Cryptography Extension (JCE). ORational DOORS Web Access usa o provedor IBMJCEFIPS para criptografar dados. IBMJCEFIPS é aprovado para FIPS 140-2.

A configuração do Rational DOORS Web Access para usar o provedor IBMJCEFIPS envolve estas etapas:
  • Edite o arquivo IBM SDK java.security para incluir os provedores IBMJCEFIPS e IBMJCE e para especificar a biblioteca de soquetes seguros IBM.
  • Edite o arquivo de script de inicialização Apache Tomcat para configurar a propriedade de sistema que especifica a configuração compatível com FIPS 140-2.
  • Edite o arquivo de configuração do servidor Apache Tomcat para restringir a comunicação https a protocolos e conjuntos de cifras que sejam suportados por FIPS 140-2.

Procedimento

  1. Abra o arquivo java.security em um editor. Esse arquivo está no diretório de instalação do Rational DOORS Web Access na biblioteca JRE do S.O.; por exemplo,
    C:\Arquivos de Programas (x86)\IBM\Rational\DOORS Web Access\versão\win32\jre\lib\security
  2. No arquivo, inclua estas entradas na lista de provedores:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. Renumere os outros provedores na lista para que ela inclua estas entradas:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. Salve e feche o arquivo.
  5. Abra o arquivo de script de inicialização do Apache Tomcat em um editor.
    • Em sistemas Windows, o arquivo de script server.start.bat está no diretório de instalação do Rational DOORS Web Access; por exemplo,
      C:\Arquivos de Programas (x86)\IBM\Rational\DOORS Web Access\versão
      Próximo ao final do arquivo, antes da entrada cd %CATALINA_HOME%\bin, inclua a entrada set JAVA_OPTS para o parâmetro com.ibm.jsse2.usefipsprovider:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Em sistemas UNIX, o arquivo de script server.start.sh está no diretório de instalação do Rational DOORS Web Access. Antes da entrada export JAVA_OPTS, inclua a entrada JAVA_OPTS para o parâmetro com.ibm.jsse2.usefipsprovider:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      
      export JAVA_OPTS
  6. Salve e feche o arquivo.
  7. Abra o arquivo server.xml do Apache Tomcat em um editor. Esse arquivo está na instalação do Rational DOORS Web Access no diretório server/conf; por exemplo,
    C:\Arquivos de Programas (x86)\IBM\Rational\DOORS Web Access\versão\server\conf
  8. Na seção conector HTTPS, descrita em Configurando o Rational DOORS Web Access para usar SSL ou TLS, configure o valor sslProtocol com a versão mínima do TLS; por exemplo:
    sslProtocol="TLS"
    Essa configuração usa a versão mais segura do TLS durante a comunicação entre o servidor e um cliente específico.
  9. Configure os conjuntos de cifras para restringir ainda mais o que o servidor aceitará; por exemplo:
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA,
        SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    Para obter uma lista de conjuntos de cifras suportados, consulte "Conjuntos de CifrasIBM JSSE FIPS" nas Informações relacionados.

O que Fazer Depois

Configure o navegador para enviar pelo menos a versão mínima do TLS aceita pelo servidor Apache Tomcat. É possível que o TLS não esteja ativado no Microsoft Internet Explorer. Para ativar o TLS, abra o Internet Explorer e clique em Ferramentas > Opções de Internet. Na guia Avançado, selecione Usar TLS versão, em que versão é a versão mínima de cliente aceita pelo servidor.

Se você usar provedores aprovados por FIPS 140-2, assegure-se de que os certificados e os armazenamentos de chaves incluam algoritmos suportados. Para obter uma lista de algoritmos de chave e de assinatura suportados, consulte "Os Provedores Java Aprovados por FIPS, IBMJSSEFIPS e IBMJCEFIPS".


Feedback