您可以配置 Rational DOORS Web Access 在通訊時使用符合「美國聯邦資訊處理標準 (FIPS) 140-2 層次 1」的加密 Socket。
該標準定義了在安全系統中所用之加密模組必須滿足的安全需求,藉此保護 IT 系統中的一般資訊。
關於這項作業
Rational DOORS Web Access 使用 IBMJSSE2 提供者作為
「Java Secure Socket 延伸 (JSSE)」提供者。IBMJSSE2 不需要經過 FIPS 140-2 核准,因為它將加密與簽章功能委派給
「Java 加密延伸 (JCE)」提供者。Rational
DOORS Web Access 使用 IBMJCEFIPS 提供者來加密資料。IBMJCEFIPS
已經過 FIPS 140-2 核准。
如果要配置 Rational DOORS Web
Access 使用 IBMJCEFIPS 提供者:
- 編輯 IBM SDK java.security 檔案來包含
IBMJCEFIPS 與 IBMJCE 提供者,並指定 IBM 加密 Socket 程式庫。
- 編輯 Apache Tomcat 啟動 Script 檔案來設定系統內容以指定符合 FIPS 140-2 的設定。
- 編輯 Apache Tomcat 伺服器配置檔來限制 HTTPS 通訊只使用 FIPS 140-2 支援的通訊協定與密碼組合。
程序
- 在編輯器中開啟 java.security 檔案。 該檔案是在 Rational DOORS Web
Access 安裝目錄下的 OS JRE 程式庫中;例如,
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\win32\ibm-java-i386-60\jre\lib\security
- 在檔案中,新增下列項目至提供者清單:
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
- 將清單中的其他提供者重新編號以包含這些項目:
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
security.provider.4=com.ibm.crypto.provider.IBMJCE
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.security.sasl.IBMSASL
security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.10=org.apache.harmony.security.provider.PolicyProvider
security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
- 移除這些 SocketFactory 與
ServerSocketFactory 項目的註解標記 (#),然後指定加密 Socket 程式庫:
ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl
ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl
- 儲存和關閉檔案。
- 在編輯器中開啟 Apache Tomcat 啟動 Script 檔。
- 在 Windows 系統中,server.start.bat Script
檔是在 Rational DOORS Web Access 安裝目錄中;
例如,
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1
接近檔案底端,
在 cd %CATALINA_HOME%\bin 項目之前,新增 set JAVA_OPTS 項目。然後確定這些項目顯示如下:set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true
cd %CATALINA_HOME%\bin
call ".\startup.bat"
- 在 UNIX 系統中,server.start.sh Script 檔是在 Rational DOORS Web Access 安裝目錄。
在 export JAVA_OPTS 項目之前,新增 JAVA_OPTS 項目。
然後確定這些項目顯示如下:
JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true
export JAVA_OPTS
- 儲存和關閉檔案。
- 在編輯器中開啟 Apache Tomcat server.xml 檔案。
該檔案是在 Rational DOORS Web Access 安裝架構中的 server/conf 目錄中;例如,
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
- 將 sslProtocol 值設定為最低 TLS 版本;
例如:
sslProtocol="TLS"
此設定會在伺服器與特定用戶端通訊期間使用最強的 TLS 版本。
- 將密碼組合設定為符合 FIPS 140-2 的密碼;
例如:
ciphers=”SSL_RSA_WITH_AES_256_CBC_SHA”
如需可支援密碼組合的清單,請參閱下列相關資訊鏈結中的「IBM
JSSE FIPS 密碼組合」。
下一步
配置瀏覽器以 Apache Tomcat 伺服器可接受的最低 TLS 版本傳送。
Microsoft Internet
Explorer 可能未啟用 TLS。如果要啟用 TLS,請開啟 Internet
Explorer 然後按一下「。在進階標籤中,
選取使用 TLS version 選項,其中 TLS 版本是伺服器可接受的最低用戶端版本。
如果您使用經過 FIPS 140-2 核准的提供者,請確定憑證與金鑰儲存庫包含支援的演算法。
如需可支援的金鑰與簽章演算法清單,請參閱「經過 FIPS 核准的 Java 提供者,IBMJSSEFIPS 與 IBMJCEFIPS"。