可以配置 IBM® Rational® DOORS® Web Access 以通过符合联邦信息处理标准 (FIPS) 140-2 级别 1 的安全套接字进行通信。该标准定义了安全系统中使用的密码模块必须满足的安全要求,以保护 IT 系统中的未分类信息。
关于此任务
Rational DOORS Web Access 使用 IBMJSSE2 提供程序作为 Java™ 安全套接字扩展 (JSSE) 提供程序。IBMJSSE2 不需要 FIPS 140-2 批准,因为它将加密和签名功能委派给 Java 密码术扩展 (JCE) 提供程序。 Rational DOORS Web Access 使用 IBMJCEFIPS 提供程序来加密数据。对于 FIPS 140-2,IBMJCEFIPS 获得了批准。
将
Rational DOORS Web Access 配置为使用 IBMJCEFIPS 提供程序涉及以下步骤:
- 编辑 IBM SDK java.security 文件以包含 IBMJCEFIPS 和 IBMJCE 提供程序以及指定 IBM 安全套接字库。
- 编辑 Apache Tomcat 启动脚本文件以设置某个系统属性,该属性指定符合 FIPS 140-2 的设置。
- 编辑 Apache Tomcat 服务器配置文件以将 https 通信限制为 FIPS 140-2 所支持的协议和密码套件。
过程
- 在编辑器中打开 java.security 文件。 该文件位于 Rational DOORS Web Access 安装目录中的 OS JRE 库中;例如
C:\Program Files\IBM\Rational\DOORS Web Access\version\win32\jre\lib\security
- 在该文件中,将以下条目添加到提供程序列表中:
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
- 将列表中的其他提供程序重新编号,以便列表中包括以下条目:
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
security.provider.4=com.ibm.crypto.provider.IBMJCE
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.security.sasl.IBMSASL
security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.10=org.apache.harmony.security.provider.PolicyProvider
security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
- 保存并关闭文件。
- 在编辑器中打开 Apache Tomcat 启动脚本文件。
- 在 Windows 系统上,server.start.bat 脚本文件位于 Rational DOORS Web Access 安装目录中;例如
C:\Program Files\IBM\Rational\DOORS Web Access\version
在文件底部附近,在 cd %CATALINA_HOME%\bin 条目之前,添加 com.ibm.jsse2.usefipsprovider 参数的 set JAVA_OPTS 条目。set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true
cd %CATALINA_HOME%\bin
call ".\startup.bat"
- 在 Linux 系统上,server.start.sh 脚本文件位于 Rational DOORS Web Access 安装目录中。在 export JAVA_OPTS 条目之前,添加 com.ibm.jsse2.usefipsprovider 参数的 JAVA_OPTS 条目。
JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
export JAVA_OPTS
- 保存并关闭文件。
- 在编辑器中打开 Apache Tomcat 的 server.xml 文件。该文件位于 Rational DOORS Web Access 安装中的 server/conf 目录中;例如
C:\Program Files\IBM\Rational\DOORS Web Access\version\server\conf
- 在 HTTPS 连接程序部分中(在配置 Rational DOORS Web Access 以使用 SSL 或 TLS 中进行了描述),将 sslProtocol 值设置为最小 TLS 版本;例如:
sslProtocol="TLS"
该设置在服务器和特定客户机的通信期间使用最强的 TLS 版本。
- 设置密码套件以进一步限制服务器将接受的内容;例如:
ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA,
SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
有关受支持密码套件的列表,请参阅相关信息中的“IBM JSSE FIPS 密码套件”。
下一步做什么
配置浏览器以至少发送 Apache Tomcat 服务器接受的 TLS 最低版本。Microsoft Internet Explorer 可能未启用 TLS。要启用 TLS,请打开 Internet Explorer,然后单击。在高级选项卡上,选择使用 TLS version 选项,其中的 version 是服务器接受的最低客户机版本。
如果使用 FIPS 140-2 批准的提供程序,请确保证书和密钥库包括受支持的算法。有关受支持密钥和签名算法的列表,请参阅“经过 FIPS 批准的 Java 提供程序、IBMJSSEFIPS 和 IBMJCEFIPS”。