IBM® Rational DOORS
Web Access можно настроить для взаимодействия с использованием
защищенных сокетов в соответствии с Федеральным стандартом обработки
информации (FIPS) 140-2 уровня 1. Этот стандарт определяет требования
безопасности, которым должен отвечать криптографический модуль,
используемый в системе безопасности для защиты неклассифицированной
информации в ИТ-системах.
Об этой задаче
Rational DOORS
Web Access использует провайдер IBMJSSE2
как провайдер Java™ Secure Socket Extension (JSSE). IBMJSSE2 не требует утверждения FIPS 140-2, так как делегирует функции шифрования и подписания
провайдеру Java Cryptography Extension (JCE). Rational DOORS
Web Access использует для шифрования данных
провайдер IBMJCEFIPS. IBMJCEFIPS
утвержден для FIPS 140-2.
Для настройки
Rational DOORS
Web Access для применения провайдера IBMJCEFIPS выполните
следующие действия:
- Укажите в файле IBM SDK java.security провайдеры IBMJCEFIPS и IBMJCE, а также библиотеку защищенных сокетов IBM.
- В файле сценария запуска Apache Tomcat задайте значение системного
свойства, которое указывает на соответствие FIPS 140-2.
- Ограничьте в файле конфигурации сервера Apache Tomcat взаимодействие
по https теми протоколами и комплектами шифров, которые поддерживаются
FIPS 140-2.
Процедура
- Откройте файл java.security
в редакторе. Файл расположен в установочном каталоге
Rational DOORS Web Access в
библиотеке OS JRE. Пример:
C:\Program Files (x86)\IBM\Rational\DOORS Web
Access\версия\win32\jre\lib\security
- Добавьте в файл следующие записи с перечислением провайдеров:
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
- Перенумеруйте остальные провайдеры в списке таким образом чтобы
он содержал следующие записи:
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
security.provider.4=com.ibm.crypto.provider.IBMJCE
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.security.sasl.IBMSASL
security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.10=org.apache.harmony.security.provider.PolicyProvider
security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
- Сохраните и закройте файл.
- Откройте файл сценария запуска Apache Tomcat в редакторе.
- В системах Windows файл
сценария
server.start.bat расположен в каталоге установки
Rational DOORS Web Access. Пример:
C:\Program Files (x86)\IBM\Rational\DOORS Web
Access\версия
В нижней части файла перед записью cd
%CATALINA_HOME%\bin добавьте запись set
JAVA_OPTS для параметра
com.ibm.jsse2.usefipsprovider:set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true
cd %CATALINA_HOME%\bin
call ".\startup.bat"
- В системах UNIX файл
сценария
server.start.sh расположен в каталоге установки
Rational DOORS Web Access. Перед записью export JAVA_OPTS добавьте запись
JAVA_OPTS для параметра
com.ibm.jsse2.usefipsprovider:
JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
export JAVA_OPTS
- Сохраните и закройте файл.
- Откройте файл Apache Tomcat server.xml
в редакторе. Этот файл расположен в установочном каталоге
Rational DOORS Web Access в подкаталоге server/conf. Пример:
C:\Program Files (x86)\IBM\Rational\DOORS Web
Access\версия\server\conf
- В разделе Коннектор HTTPS, который описан в разделе Настройка Rational DOORS Web Access для использования SSL или TLS
укажите для параметра sslProtocol минимальную
версию TLS; пример:
sslProtocol="TLS"
В этом параметре
указана самая строгая версия TLS, используемая при взаимодействии
между сервером и определенным клиентом.
- Укажите комплекты шифров, чтобы дополнительно ограничить шифры,
принимаемые сервером. Пример:
ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA,
SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
Список поддерживаемых комплектов шифров можно найти по ссылке
"Комплекты шифров IBM JSSE
FIPS" в разделе
Связанная информация.
Дальнейшие действия
Настройте браузер на отправку по крайней мере минимальной версии
TLS, которую принимает сервер Apache Tomcat. В Microsoft Internet
Explorer TLS может быть не включен. Для включения TLS откройте Internet
Explorer и в нем откройте меню . На вкладке Дополнительно выберите Использовать TLS версия, где версия - это минимальная версия клиента, принимаемая
сервером.
Если вы используете
провайдеры, утвержденные FIPS 140-2, убедитесь, что сертификаты и хранилища ключей содержат
поддерживаемые алгоритмы.
Список поддерживаемых алгоритмов шифрования и подписания
приведен в разделе "Провайдеры Java, утвержденные FIPS: IBMJSSEFIPS и IBMJCEFIPS".