在 Rational DOORS Web Access 中配置 FIPS 140-2 相符性

您可以配置 IBM® Rational® DOORS® Web Access,使其在通訊時使用符合「聯邦資訊存取安全標準 (FIPS) 140-2 層次 1」標準的安全 Socket。 該標準定義了在安全系統中所用之加密模組必須滿足的安全需求,藉此保護 IT 系統中的一般資訊。

關於這項作業

Rational DOORS Web Access 使用 IBMJSSE2 提供者作為 Java™ Secure Socket Extension (JSSE) 提供者。IBMJSSE2 不需要 FIPS 140-2 核准,因為它將加密與簽章功能委派給 「Java 加密延伸 (JCE)」提供者。Rational DOORS Web Access 使用 IBMJCEFIPS 提供者來加密資料。IBMJCEFIPS 經過 FIPS 140-2 核准。

Rational DOORS Web Access 配置成使用 IBMJCEFIPS 提供者時,所涉及的步驟如下:
  • 編輯 IBM SDK java.security 檔案來包含 IBMJCEFIPS 與 IBMJCE 提供者,並指定 IBM 安全 Socket 程式庫。
  • 編輯 Apache Tomcat 啟動 Script 檔案來設定系統內容以指定符合 FIPS 140-2 的設定。
  • 編輯 Apache Tomcat 伺服器配置檔來限制 HTTPS 通訊只使用 FIPS 140-2 支援的通訊協定與密碼組合。

程序

  1. 在編輯器中開啟 java.security 檔案。 該檔案位於 Rational DOORS Web Access 安裝目錄的 OS JRE 程式庫中;例如:
    C:\Program Files\IBM\Rational\DOORS Web Access\version\win32\jre\lib\security
  2. 在檔案中,新增下列項目至提供者清單:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. 將清單中的其他提供者重新編號,以包含這些項目:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. 儲存和關閉檔案。
  5. 在編輯器中開啟 Apache Tomcat 啟動 Script 檔。
    • 在 Windows 系統中,server.start.bat Script 檔位於 Rational DOORS Web Access 安裝目錄;例如:
      C:\Program Files\IBM\Rational\DOORS Web Access\version
      接近檔案底端,在 cd %CATALINA_HOME%\bin 項目之前,針對 com.ibm.jsse2.usefipsprovider 參數新增 set JAVA_OPTS 項目:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • 在 Linux 系統中,server.start.sh Script 檔位於 Rational DOORS Web Access 安裝目錄。在 export JAVA_OPTS 項目之前,針對 com.ibm.jsse2.usefipsprovider 參數新增 JAVA_OPTS 項目:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      
      export JAVA_OPTS
  6. 儲存和關閉檔案。
  7. 在編輯器中開啟 Apache Tomcat server.xml 檔案。 該檔案位於 Rational DOORS Web Access 安裝中的 server/conf 目錄;例如:
    C:\Program Files\IBM\Rational\DOORS Web Access\version\server\conf
  8. 在 HTTPS 連接器區段(相關說明位於將 Rational DOORS Web Access 配置成使用 SSL 或 TLS)中,將 sslProtocol 值設為最低 TLS 版本;例如:
    sslProtocol="TLS"
    此設定會在伺服器與特定用戶端通訊期間使用最強的 TLS 版本。
  9. 設定密碼組合,以進一步限制伺服器將接受的密碼組合;例如:
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA,
        SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    如需支援的密碼組合清單,請參閱相關資訊中的「IBM JSSE FIPS 密碼組合」。

下一步

配置瀏覽器以 Apache Tomcat 伺服器可接受的最低 TLS 版本傳送。 Microsoft Internet Explorer 可能未啟用 TLS。如果要啟用 TLS,請開啟 Internet Explorer 然後按一下「工具 > 網際網路選項。在進階標籤中,選取使用 TLS version,其中 version 是伺服器可接受的最低用戶端版本。

如果您使用 FIPS 140-2 核准的提供者,請確定憑證與金鑰儲存庫包含支援的演算法。 如需可支援的金鑰與簽章演算法清單,請參閱「FIPS 核准的 Java 提供者,IBMJSSEFIPS 與 IBMJCEFIPS"。


意見