Rational DOORS Web Access можно настроить для взаимодействия
с использованием
защищенных сокетов в соответствии с Федеральным стандартом обработки информации
(FIPS) 140-2 уровня 1. Этот стандарт определяет требования безопасности,
которым должен отвечать криптографический модуль, используемый в системе
безопасности для защиты неклассифицированной информации в ИТ-системах.
Об этой задаче
Rational DOORS Web Access использует провайдер IBMJSSE2
как провайдер Java Secure Socket Extension (JSSE). IBMJSSE2 не требует
утверждения FIPS 140-2, потому что делегирует функции шифрования и подписания
провайдеру Java Cryptography Extension (JCE). Rational DOORS Web Access
использует для шифрования данных провайдер IBMJCEFIPS. IBMJCEFIPS
утвержден для FIPS 140-2.
Для настройки Rational DOORS Web
Access для использования провайдера IBMJCEFIPS выполните следующие действия:
- Укажите в файле IBM SDK java.security провайдеры
IBMJCEFIPS и IBMJCE, а также библиотеку безопасных сокетов IBM.
- В файле сценария запуска Apache Tomcat задайте значение системного
свойства, которое указывает на соответствие FIPS 140-2.
- Ограничьте в файле конфигурации сервера Apache Tomcat взаимодействие
по https теми протоколами и комплектами шрифтов, которые поддерживаются
FIPS 140-2.
Процедура
- Откройте файл java.security
в редакторе. Файл расположен в каталоге установки Rational DOORS Web
Access в библиотеке OS JRE. Пример:
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\win32\ibm-java-i386-60\jre\lib\security
- Добавьте в файл следующие записи с перечислением провайдеров:
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
- Перенумеруйте остальные провайдеры в списке таким образом чтобы он содержал
следующие записи:
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
security.provider.4=com.ibm.crypto.provider.IBMJCE
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.security.sasl.IBMSASL
security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.10=org.apache.harmony.security.provider.PolicyProvider
security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
- Удалите теги комментариев (#) из указанных ниже записей SocketFactory
и ServerSocketFactory, а затем укажите такие библиотеки сокетов:
ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl
ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl
- Сохраните и закройте файл.
- Откройте файл сценария запуска Apache Tomcat в редакторе.
- В системах Windows файл сценария server.start.bat
расположен в каталоге установки Rational DOORS Web Access.
Пример:
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1
В
нижней части файла перед записью cd %CATALINA_HOME%\bin
добавьте запись set JAVA_OPTS. Затем убедитесь, что
записи выглядят так:set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true
cd %CATALINA_HOME%\bin
call ".\startup.bat"
- В системах UNIX файл сценария server.start.sh
расположен в каталоге установки Rational DOORS Web Access. Перед записью
export JAVA_OPTS добавьте запись JAVA_OPTS.
Затем убедитесь, что записи выглядят так:
JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true
export JAVA_OPTS
- Сохраните и закройте файл.
- Откройте файл Apache Tomcat server.xml
в редакторе. Этот файл расположен в каталоге установки Rational DOORS Web Access
в подкаталоге server/conf. Пример:
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
- Присвойте параметру sslProtocol значение
минимальной версии TLS. Пример:
sslProtocol="TLS"
В этом параметре
указана самая строгая версия TLS, используемая при взаимодействии
между сервером и определенным клиентом.
- Укажите наборы шифров, совместимые с FIPS 140-2.
Пример:
ciphers=”SSL_RSA_WITH_AES_256_CBC_SHA”
Список поддерживаемых
комплектов шрифтов можно найти по расположенной ниже ссылке "Комплекты шрифтов IBM JSSE FIPS"
в разделе ссылок на связанную информацию.
Дальнейшие действия
Настройте браузер на отправку по крайней мере минимальной версии
TLS, которую принимает сервер Apache Tomcat. В Microsoft Internet
Explorer TLS может быть не включен. Для включения TLS откройте Internet
Explorer и в нем откройте меню . На вкладке Дополнительно
включите переключатель Использовать TLS версия,
где версия TLS - минимальная клиентская версия, принимаемая сервером.
Если вы используете
провайдеры, утвержденные FIPS 140-2, убедитесь, что сертификаты и хранилища ключей содержат
поддерживаемые алгоритмы. Список поддерживаемых алгоритмов шифрования с ключами и подписания
приведен в разделе "Провайдеры Java, утвержденные FIPS: IBMJSSEFIPS и IBMJCEFIPS".