Vous pouvez configurer Rational DOORS Web Access en vue de communiquer via une connexion sécurisée, conformément à la norme FIPS (Federal Information Processing Standard) 140-2, niveau 1. Cette norme définit les exigences de
sécurité qu'un module cryptographique utilisé
dans un système de sécurité doit satisfaire pour protéger les informations non classifiées dans
les systèmes informatiques.
Pourquoi et quand exécuter cette tâche
Rational DOORS Web Access utilise le fournisseur IBMJSSE2 comme fournisseur JSSE (Java™ Secure Socket Extension). IBMJSSE2 n'a pas besoin d'approbation FIPS 140-2 car il délègue les fonctions de chiffrement et de signature à un fournisseur JCE (Java Cryptography Extension). Rational DOORS Web Access utilise le fournisseur IBMJCEFIPS pour chiffrer des données. IBMJCEFIPS
est approuvé pour FIPS 140-2.
Pour configurer Rational DOORS Web Access en vue d'utiliser le fournisseur IBMJCEFIPS :
- Editez le fichier IBM® SDK java.security pour inclure les fournisseurs IBMJCEFIPS et IBMJCE et pour spécifier la bibliothèque de connexions sécurisées IBM.
- Editez le fichier de script de démarrage Apache Tomcat pour définir la propriété système
qui spécifie le paramètre conforme à FIPS 140-2.
- Editez le fichier de configuration du serveur Apache Tomcat pour restreindre la
communication https aux protocoles et aux algorithmes de cryptographie pris en charge par
FIPS 140-2.
Procédure
- Ouvrez le fichier java.security dans un
éditeur. Ce fichier se trouve dans le répertoire d'installation de Rational DOORS Web Access, dans la bibliothèque JRE du système d'exploitation ; par exemple,
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\win32\ibm-java-i386-60\jre\lib\security
- Dans le fichier, ajoutez les entrées suivantes à la liste de fournisseurs :
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
- Renumérotez les autres fournisseurs de la liste afin d'inclure
les entrées suivantes :
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
security.provider.4=com.ibm.crypto.provider.IBMJCE
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.security.sasl.IBMSASL
security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.10=org.apache.harmony.security.provider.PolicyProvider
security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
- Supprimez les balises de commentaires (#) de ces entrées SocketFactory et
ServerSocketFactory, puis indiquez les bibliothèques de connexions sécurisées :
ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl
ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl
- Enregistrez et fermez le fichier.
- Ouvrez le fichier de script de démarrage Apache Tomcat dans un éditeur.
- Sur les systèmes Windows, le fichier de script server.start.bat se trouve dans le répertoire d'installation de Rational DOORS Web Access ; par exemple,
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1
Vers
la fin du fichier, avant l'entrée cd %CATALINA_HOME%\bin,
ajoutez l'entrée set JAVA_OPTS. Vérifiez ensuite que
les entrées s'affichent comme suit :set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true
cd %CATALINA_HOME%\bin
call ".\startup.bat"
- Sur les systèmes UNIX, le fichier de script server.start.sh se trouve dans le répertoire d'installation de Rational DOORS Web Access. Avant
l'entrée export JAVA_OPTS, ajoutez l'entrée JAVA_OPTS. Vérifiez ensuite que les entrées s'affichent comme suit :
JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true
export JAVA_OPTS
- Enregistrez et fermez le fichier.
- Ouvrez le fichier Apache Tomcat server.xml
dans un éditeur. Ce fichier se trouve dans le répertoire d'installation de Rational DOORS Web Access, dans le répertoire server/conf ; par exemple,
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
- Définissez la valeur sslProtocol sur la
version TLS minimale, par exemple :
sslProtocol="TLS"
Ce
paramètre utilise la version TLS la plus solide lors de la communication entre
le serveur et un client spécifique.
- Définissez les algorithmes de cryptographie sur un chiffrement conforme à FIPS 140-2.
Par exemple :
ciphers="SSL_RSA_WITH_AES_256_CBC_SHA"
Pour obtenir une liste des algorithmes de cryptographie pris en charge, voir "IBM JSSE FIPS Cipher Suites" dans les liens d'informations connexes ci-dessous.
Que faire ensuite
Configurez le navigateur en vue d'envoyer au moins la version
TLS minimale que le serveur Apache Tomcat accepte. Il se peut que Microsoft Internet Explorer n'ait pas activé TLS. Pour activer TLS, ouvrez Internet
Explorer et cliquez sur . Dans l'onglet Avancé,
sélectionnez l'option Utiliser TLS version,
où la version TLS correspond à la version client minimale que le serveur
accepte.
Si vous utilisez des fournisseurs approuvés
par FIPS 140-2, vérifiez que les certificats et les fichiers de clés incluent
des algorithmes pris en charge.
Pour obtenir une liste des algorithmes de clés et de signature pris en charge, voir "The Java FIPS-approved providers, IBMJSSEFIPS and IBMJCEFIPS".