Настройка соответствия FIPS 140-2 в Rational DOORS Web Access

IBM® Rational DOORS Web Access можно настроить для взаимодействия с использованием защищенных сокетов в соответствии с Федеральным стандартом обработки информации (FIPS) 140-2 уровня 1. Этот стандарт определяет требования безопасности, которым должен отвечать криптографический модуль, используемый в системе безопасности для защиты неклассифицированной информации в ИТ-системах.

Об этой задаче

Rational DOORS Web Access использует провайдер IBMJSSE2 как провайдер Java™ Secure Socket Extension (JSSE). IBMJSSE2 не требует утверждения FIPS 140-2, так как делегирует функции шифрования и подписания провайдеру Java Cryptography Extension (JCE). Rational DOORS Web Access использует для шифрования данных провайдер IBMJCEFIPS. IBMJCEFIPS утвержден для FIPS 140-2.

Для настройки Rational DOORS Web Access для применения провайдера IBMJCEFIPS выполните следующие действия:
  • Укажите в файле IBM SDK java.security провайдеры IBMJCEFIPS и IBMJCE, а также библиотеку защищенных сокетов IBM.
  • В файле сценария запуска Apache Tomcat задайте значение системного свойства, которое указывает на соответствие FIPS 140-2.
  • Ограничьте в файле конфигурации сервера Apache Tomcat взаимодействие по https теми протоколами и комплектами шифров, которые поддерживаются FIPS 140-2.

Процедура

  1. Откройте файл java.security в редакторе. Файл расположен в установочном каталоге Rational DOORS Web Access в библиотеке OS JRE. Пример:
    C:\Program Files\IBM\Rational\DOORS Web
    Access\версия\win32\jre\lib\security
  2. Добавьте в файл следующие записи с перечислением провайдеров:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. Перенумеруйте остальные провайдеры в списке таким образом чтобы он содержал следующие записи:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. Сохраните и закройте файл.
  5. Откройте файл сценария запуска Apache Tomcat в редакторе.
    • В системах Windows файл сценария server.start.bat расположен в каталоге установки Rational DOORS Web Access. Пример:
      C:\Program Files\IBM\Rational\DOORS Web Access\версия
      В нижней части файла перед записью cd %CATALINA_HOME%\bin добавьте запись set JAVA_OPTS для параметра com.ibm.jsse2.usefipsprovider:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • В системах Linux файл сценария server.start.sh расположен в каталоге установки Rational DOORS Web Access. Перед записью export JAVA_OPTS добавьте запись JAVA_OPTS для параметра com.ibm.jsse2.usefipsprovider:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      
      export JAVA_OPTS
  6. Сохраните и закройте файл.
  7. Откройте файл Apache Tomcat server.xml в редакторе. Этот файл расположен в установочном каталоге Rational DOORS Web Access в подкаталоге server/conf. Пример:
    C:\Program Files\IBM\Rational\DOORS Web
    Access\версия\server\conf
  8. В разделе Коннектор HTTPS, который описан в разделе Настройка Rational DOORS Web Access для использования SSL или TLS укажите для параметра sslProtocol минимальную версию TLS; пример:
    sslProtocol="TLS"
    В этом параметре указана самая строгая версия TLS, используемая при взаимодействии между сервером и определенным клиентом.
  9. Укажите комплекты шифров, чтобы дополнительно ограничить шифры, принимаемые сервером. Пример:
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA,
        SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    Список поддерживаемых комплектов шифров можно найти по ссылке "Комплекты шифров IBM JSSE FIPS" в разделе Связанная информация.

Дальнейшие действия

Настройте браузер на отправку по крайней мере минимальной версии TLS, которую принимает сервер Apache Tomcat. В Microsoft Internet Explorer TLS может быть не включен. Для включения TLS откройте Internet Explorer и в нем откройте меню Сервис > Свойства обозревателя. На вкладке Дополнительно выберите Использовать TLS версия, где версия - это минимальная версия клиента, принимаемая сервером.

Если вы используете провайдеры, утвержденные FIPS 140-2, убедитесь, что сертификаты и хранилища ключей содержат поддерживаемые алгоритмы. Список поддерживаемых алгоритмов шифрования и подписания приведен в разделе "Провайдеры Java, утвержденные FIPS: IBMJSSEFIPS и IBMJCEFIPS".


Комментарии