Configurando a Conformidade para FIPS 140-2 no Rational DOORS Web Access

É possível configurar o Rational DOORS Web Access para se comunicar usando soquetes seguros em conformidade com o Federal Information Processing Standard (FIPS) 140-2 Nível 1. Esse padrão define os requisitos de segurança que devem ser satisfeitos por um módulo criptográfico usado em um sistema de segurança para proteger informações não confidenciais em sistemas de TI.

Sobre Esta Tarefa

O Rational DOORS Web Access usa o provedor IBMJSSE2 como o provedor Java Secure Socket Extension (JSSE). O IBMJSSE2 não precisa da aprovação FIPS 140-2 porque delega as funções de criptografia e assinatura a um provedor Java Cryptography Extension (JCE). O Rational DOORS Web Access usa o provedor IBMJCEFIPS para criptografar dados. IBMJCEFIPS é aprovado para FIPS 140-2.

Para configurar o Rational DOORS Web Access para usar o provedor IBMJCEFIPS:
  • Edite o arquivo IBM SDK java.security para incluir os provedores IBMJCEFIPS e IBMJCE e para especificar a biblioteca de soquetes seguros IBM.
  • Edite o arquivo de script de inicialização Apache Tomcat para configurar a propriedade de sistema que especifica a configuração compatível com FIPS 140-2.
  • Edite o arquivo de configuração do servidor Apache Tomcat para restringir a comunicação https a protocolos e conjuntos de cifras que sejam suportados por FIPS 140-2.

Procedimento

  1. Abra o arquivo java.security em um editor. Esse arquivo está localizado no diretório de instalação do Rational DOORS Web Access na biblioteca JRE do S.O.; por exemplo,
    C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\win32\ibm-java-i386-60\jre\lib\security
  2. No arquivo, inclua estas entradas na lista de provedores:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. Renumere os outros provedores na lista para que incluam estas entradas:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. Remova as tags de comentário (#) dessas entradas SocketFactory e ServerSocketFactory e, em seguida, especifique as bibliotecas de soquetes seguros:
    ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl
    ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl
  5. Salve e feche o arquivo.
  6. Abra o arquivo de script de inicialização do Apache Tomcat em um editor.
    • Em sistemas Windows, o arquivo de script server.start.bat está no diretório de instalação do Rational DOORS Web Access; por exemplo,
      C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1
      Perto do final do arquivo, antes da entrada cd %CATALINA_HOME%\bin, inclua e entrada set JAVA_OPTS. Em seguida, certifique-se de que as entradas sejam mostradas da seguinte forma:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Em sistemas UNIX, o arquivo de script server.start.sh está no diretório de instalação do Rational DOORS Web Access. Antes da entrada export JAVA_OPTS, inclua a entrada JAVA_OPTS. Em seguida, certifique-se de que as entradas sejam mostradas da seguinte forma:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      
      export JAVA_OPTS
  7. Salve e feche o arquivo.
  8. Abra o arquivo server.xml do Apache Tomcat em um editor. Esse arquivo está na instalação do Rational DOORS Web Access no diretório server/conf; por exemplo,
    C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  9. Configure o valor sslProtocol com a versão mínima do TLS; por exemplo:
    sslProtocol="TLS"
    Essa configuração usa a versão mais segura do TLS durante a comunicação entre o servidor e um cliente específico.
  10. Configure os conjuntos de cifras para cifras compatíveis com FIPS 140-2; por exemplo:
    ciphers=”SSL_RSA_WITH_AES_256_CBC_SHA”
    Para obter uma lista de conjuntos de cifras suportados, consulte "Conjuntos de Cifras IBM JSSE FIPS" nos links de informações relacionadas a seguir.

O que Fazer Depois

Configure o navegador para enviar pelo menos a versão mínima do TLS aceita pelo servidor Apache Tomcat. É possível que o TLS não esteja ativado no Microsoft Internet Explorer. Para ativar o TLS, abra o Internet Explorer e clique em Ferramentas > Opções de Internet. Na guia Avançado, selecione a opção Usar TLS version, em que a versão do TLS é a versão mínima de cliente aceita pelo servidor.

Se você usar provedores aprovados por FIPS 140-2, assegure-se de que os certificados e os armazenamentos de chaves incluam algoritmos suportados. Para obter uma lista de algoritmos de chave e de assinatura suportados, consulte "Os Provedores Java Aprovados por FIPS, IBMJSSEFIPS e IBMJCEFIPS."


Feedback