Konformität mit FIPS 140-2 in Rational DOORS Web Access konfigurieren

Sie können Rational DOORS Web Access so konfigurieren, dass die Kommunikation über sichere Sockets unter Einhaltung von Federal Information Processing Standard (FIPS) 140-2 Level 1 erfolgt. Dieser Standard definiert die Sicherheitsanforderungen, die ein Verschlüsselungsmodul erfüllen muss, das in einem Sicherheitssystem für den Schutz nicht klassifizierter Informationen in IT-Systemen verwendet wird.

Informationen zu diesem Vorgang

Rational DOORS Web Access verwendet den IBMJSSE2-Provider als JSSE-Provider (JSSE = Java Secure Socket Extension). IBMJSSE2 erfordert keine FIPS 140-2-Genehmigung, da die Verschlüsselung und Signaturfunktionen an einen JCE-Provider delegiert werden (JCE = Java Cryptography Extension). Rational DOORS Web Access verwendet den IBMJCEFIPS-Provider für die Datenverschlüsselung. IBMJCEFIPS ist für FIPS 140-2 genehmigt.

Gehen Sie wie folgt vor, um Rational DOORS Web Access für die Verwendung des IBMJCEFIPS-Providers zu konfigurieren:
  • Bearbeiten Sie die IBM SDK-Datei java.security. Fügen Sie dort die Provider IBMJCEFIPS und IBMJCE ein und geben Sie die IBM Secure Sockets Library an.
  • Bearbeiten Sie die Apache Tomcat-Startscriptdatei. Legen Sie dort die Systemeigenschaft fest, die die FIPS 140-2-konforme Einstellung angibt.
  • Bearbeiten Sie die Apache Tomcat-Serverkonfigurationsdatei. Schränken Sie die HTTPS-Kommunikation auf Protokolle und Cipher-Suites ein, die von FIPS 140-2 unterstützt werden.

Vorgehensweise

  1. Öffnen Sie die Datei java.security in einem Editor. Die Datei befindet sich im Installationsverzeichnis von Rational DOORS Web Access in der OS JRE-Bibliothek. Beispiel:
    C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\win32\ibm-java-i386-60\jre\lib\security
  2. Fügen Sie in der Datei die folgenden Einträge zur Liste der Provider hinzu:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. Nummerieren Sie die anderen Provider in der Liste um, sodass sie folgende Einträge enthält:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. Entfernen Sie die Kommentarbefehle (#) bei diesen SocketFactory- und ServerSocketFactory-Einträgen und geben Sie die Bibliotheken für sichere Sockets an:
    ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl
    ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl
  5. Speichern und schließen Sie die Datei.
  6. Öffnen Sie die Apache Tomcat-Startscriptdatei in einem Editor.
    • Auf Windows-Systemen befindet sich die Scriptdatei server.start.bat im Installationsverzeichnis von Rational DOORS Web Access. Beispiel:
      C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1
      Fügen Sie in der Nähe des Dateiendes vor dem Eintrag cd %CATALINA_HOME%\bin den Eintrag set JAVA_OPTS hinzu. Vergewissern Sie sich anschließend, dass die Einträge wie folgt aussehen:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Auf UNIX-Systemen befindet sich die Scriptdatei server.start.sh im Installationsverzeichnis von Rational DOORS Web Access. Fügen Sie vor dem Eintrag export JAVA_OPTS den Eintrag JAVA_OPTS ein. Vergewissern Sie sich anschließend, dass die Einträge wie folgt aussehen:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      
      export JAVA_OPTS
  7. Speichern und schließen Sie die Datei.
  8. Öffnen Sie die Apache Tomcat-Datei server.xml in einem Editor. Diese Datei befindet sich bei der Rational DOORS Web Access-Installation im Verzeichnis server/conf. Beispiel:
    C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  9. Legen Sie den sslProtocol-Wert auf die mindestens erforderliche TLS-Version fest. Beispiel:
    sslProtocol="TLS"
    Diese Einstellung verwendet die sicherste TLS-Version bei der Kommunikation zwischen dem Server und einem bestimmten Client.
  10. Legen Sie für die Cipher-Suites FIPS 140-2-konforme Verschlüsselungen fest. Beispiel:
    ciphers=”SSL_RSA_WITH_AES_256_CBC_SHA”
    Eine Liste unterstützter Cipher-Suites finden Sie unter "IBM JSSE FIPS Cipher Suites" in den unten angegebenen Links mit zugehörigen Informationen.

Nächste Schritte

Konfigurieren Sie den Browser so, dass er die mindestens erforderliche TLS-Version sendet, die vom Apache Tomcat-Server akzeptiert wird. Bei Microsoft Internet Explorer ist TLS möglicherweise nicht aktiviert. Um TLS zu aktivieren, öffnen Sie Internet Explorer und klicken Sie auf Extras > Internetoptionen. Wählen Sie auf der Registerkarte Erweitert die Option TLS version verwenden aus. Dabei ist die TLS-Version die mindestens erforderliche Clientversion, die der Server akzeptiert.

Wenn Sie Provider verwenden, die von FIPS 140-2 genehmigt sind, stellen Sie sicher, dass die Zertifikate und Keystores die unterstützten Algorithmen beinhalten. Eine Liste der unterstützten Schlüssel und Signaturalgorithmen finden Sie im Abschnitt zu den von Java FIPS genehmigten Providern IBMJSSEFIPS und IBMJCEFIPS (The Java FIPS-approved providers, IBMJSSEFIPS and IBMJCEFIPS).


Feedback