Sie können IBM® Rational DOORS so konfigurieren, dass die Kommunikation
über sichere Sockets unter Einhaltung von Federal Information Processing Standard (FIPS) 140-2 Level 1 erfolgt. Dieser Standard definiert die Sicherheitsanforderungen, die ein Verschlüsselungsmodul
erfüllen muss, das in einem Sicherheitssystem für den Schutz nicht klassifizierter Informationen
in IT-Systemen verwendet wird.
Informationen zu diesem Vorgang
Rational DOORS Web Access verwendet den IBMJSSE2-Provider als
JSSE-Provider (JSSE = Java™ Secure Socket Extension). Für IBMJSSE2 ist keine FIPS 140-2-Genehmigung erforderlich, da die Verschlüsselung und Signaturfunktionen an einen JCE-Provider (JCE - Java Cryptography Extension) weitergeleitet werden. Rational DOORS Web Access verwendet den IBMJCEFIPS-Provider für die Datenverschlüsselung. IBMJCEFIPS ist für FIPS 140-2 genehmigt.
Die Konfiguration von
Rational DOORS Web Access für die Verwendung des IBMJCEFIPS-Providers umfasst die folgenden Schritte:
- Bearbeiten Sie die IBM SDK-Datei java.security. Fügen Sie die Provider IBMJCEFIPS und IBMJCE ein und geben Sie die IBM Secure Sockets Library an.
- Bearbeiten Sie die Apache Tomcat-Startscriptdatei. Legen Sie dort die Systemeigenschaft fest,
die die FIPS 140-2-konforme Einstellung angibt.
- Bearbeiten Sie die Apache Tomcat-Serverkonfigurationsdatei. Schränken Sie die HTTPS-Kommunikation
auf Protokolle und Cipher-Suites ein, die von FIPS 140-2 unterstützt werden.
Vorgehensweise
- Öffnen Sie die Datei java.security in einem Editor. Die Datei befindet sich im Installationsverzeichnis von Rational DOORS Web
Access in der OS JRE-Bibliothek. Beispiel:
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\version\win32\jre\lib\security
- Fügen Sie in der Datei die folgenden Einträge zur Liste der Provider hinzu:
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
- Nummerieren Sie die anderen Provider in der Liste um, sodass sie folgende Einträge enthält:
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
security.provider.4=com.ibm.crypto.provider.IBMJCE
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.security.sasl.IBMSASL
security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.10=org.apache.harmony.security.provider.PolicyProvider
security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
- Speichern und schließen Sie die Datei.
- Öffnen Sie die Apache Tomcat-Startscriptdatei in einem Editor.
- Auf Windows-Systemen befindet sich die Scriptdatei server.start.bat im
Installationsverzeichnis von Rational DOORS Web Access. Beispiel:
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\version
Fügen Sie in
der Nähe des Dateiendes vor dem Eintrag cd %CATALINA_HOME%\bin den Eintrag
set JAVA_OPTS für den Parameter com.ibm.jsse2.usefipsprovider hinzu:set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true
cd %CATALINA_HOME%\bin
call ".\startup.bat"
- Auf UNIX-Systemen befindet sich die Scriptdatei server.start.sh im
Installationsverzeichnis von Rational DOORS Web Access. Fügen Sie vor dem Eintrag export JAVA_OPTS den Eintrag JAVA_OPTS für den Parameter com.ibm.jsse2.usefipsprovider ein:
JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
export JAVA_OPTS
- Speichern und schließen Sie die Datei.
- Öffnen Sie die Apache Tomcat-Datei server.xml in einem Editor. Diese Datei befindet sich bei der Rational DOORS Web Access-Installation im Verzeichnis
server/conf. Beispiel:
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\version\server\conf
- Legen Sie im Abschnitt für den HTTPS-Connector (eine Beschreibung finden Sie unter Rational DOORS Web Access für die Verwendung von SSL oder TLS konfigurieren) den sslProtocol-Wert auf die mindestens erforderliche TLS-Version fest. Beispiel:
sslProtocol="TLS"
Diese Einstellung verwendet die
sicherste TLS-Version bei der Kommunikation zwischen dem Server und einem bestimmten Client.
- Legen Sie die Cipher-Suites fest, um die vom Server akzeptierte Kommunikation weiter zu beschränken. Beispiel:
ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA,
SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
Eine Liste der unterstützten Cipher-Suites finden Sie unter "IBM JSSE FIPS Cipher Suites" in den zugehörigen Informationen.
Nächste Schritte
Konfigurieren Sie den Browser so, dass er die mindestens erforderliche
TLS-Version sendet, die vom Apache Tomcat-Server akzeptiert wird. Bei Microsoft Internet Explorer ist TLS möglicherweise nicht aktiviert. Um TLS zu aktivieren, öffnen Sie Internet Explorer und klicken Sie auf
. Wählen Sie auf der Registerkarte Erweitert die Option TLS version verwenden aus. Hierbei steht version die mindestens erforderliche Clientversion, die vom Server akzeptiert wird.
Wenn Sie Provider verwenden, die von FIPS 140-2 genehmigt sind, stellen Sie sicher,
dass die Zertifikate und Keystores die unterstützten Algorithmen beinhalten.
Eine Liste der unterstützten Schlüssel und Signaturalgorithmen finden Sie unter "The Java FIPS-approved providers, IBMJSSEFIPS and IBMJCEFIPS."