Sie können Rational DOORS Web Access für die Kommunikation über sichere Sockets in Konformität mit FIPS 140-2 Level 1 (FIPS - Federal Information Processing Standard) konfigurieren. Dieser Standard definiert die Sicherheitsanforderungen, die ein Verschlüsselungsmodul
erfüllen muss, das in einem Sicherheitssystem für den Schutz nicht klassifizierter Informationen
in IT-Systemen verwendet wird.
Informationen zu diesem Vorgang
Rational DOORS Web Access verwendet den IBMJSSE2-Provider als JSSE-Provider (JSSE - Java™ Secure Socket Extension). Für IBMJSSE2 ist keine FIPS 140-2-Genehmigung erforderlich, da die Verschlüsselung und Signaturfunktionen an einen JCE-Provider (JCE - Java Cryptography Extension) weitergeleitet werden. Rational DOORS Web Access verwendet den IBMJCEFIPS-Provider für die Datenverschlüsselung. IBMJCEFIPS ist für FIPS 140-2 genehmigt.
So konfigurieren Sie Rational DOORS Web Access für die Verwendung des IBMJCEFIPS-Providers:
- Bearbeiten Sie die IBM® SDK-Datei java.security. Fügen Sie die Provider IBMJCEFIPS und IBMJCE ein und geben Sie die IBM Secure Sockets Library an.
- Bearbeiten Sie die Apache Tomcat-Startscriptdatei. Legen Sie dort die Systemeigenschaft fest,
die die FIPS 140-2-konforme Einstellung angibt.
- Bearbeiten Sie die Apache Tomcat-Serverkonfigurationsdatei. Schränken Sie die HTTPS-Kommunikation
auf Protokolle und Cipher-Suites ein, die von FIPS 140-2 unterstützt werden.
Vorgehensweise
- Öffnen Sie die Datei java.security in einem Editor. Diese Datei befindet sich im Installationsverzeichnis von Rational DOORS Web Access in der JRE-Bibliothek des Betriebssystems. Beispiel:
C:\Programme (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\win32\ibm-java-i386-60\jre\lib\security
- Fügen Sie in der Datei die folgenden Einträge zur Liste der Provider hinzu:
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
- Nummerieren Sie die anderen Provider in der Liste um, sodass sie folgende Einträge enthält:
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
security.provider.4=com.ibm.crypto.provider.IBMJCE
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.security.sasl.IBMSASL
security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.10=org.apache.harmony.security.provider.PolicyProvider
security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
- Entfernen Sie die Kommentarbefehle (#) bei diesen SocketFactory- und
ServerSocketFactory-Einträgen und geben Sie die Bibliotheken für sichere Sockets an:
ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl
ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl
- Speichern und schließen Sie die Datei.
- Öffnen Sie die Apache Tomcat-Startscriptdatei in einem Editor.
- Unter Windows-Systemen befindet sich die Scriptdatei server.start.bat im Installationsverzeichnis von Rational DOORS Web Access. Beispiel:
C:\Programme (x86)\IBM\Rational\DOORS Web Access\1.5.0.1
Fügen Sie in
der Nähe des Dateiendes vor dem Eintrag cd %CATALINA_HOME%\bin den Eintrag
set JAVA_OPTS hinzu. Vergewissern Sie sich anschließend, dass die Einträge wie folgt
aussehen:set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true
cd %CATALINA_HOME%\bin
call ".\startup.bat"
- Unter UNIX-Systemen befindet sich die Scriptdatei server.start.sh im Installationsverzeichnis von Rational DOORS Web Access. Fügen Sie vor dem Eintrag export JAVA_OPTS den Eintrag JAVA_OPTS ein. Vergewissern Sie sich anschließend, dass die Einträge wie folgt
aussehen:
JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true
export JAVA_OPTS
- Speichern und schließen Sie die Datei.
- Öffnen Sie die Apache Tomcat-Datei server.xml in einem Editor. Diese Datei befindet sich bei der Rational DOORS Web Access-Installation im Verzeichnis server/conf, beispielsweise:
C:\Programme (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
- Legen Sie den sslProtocol-Wert auf die mindestens erforderliche TLS-Version fest. Beispiel:
sslProtocol="TLS"
Diese Einstellung verwendet die
sicherste TLS-Version bei der Kommunikation zwischen dem Server und einem bestimmten Client.
- Legen Sie für die Cipher-Suites FIPS 140-2-konforme Verschlüsselungen fest. Beispiel:
ciphers="SSL_RSA_WITH_AES_256_CBC_SHA"
Eine Liste der unterstützten Cipher-Suites finden Sie unter "IBM JSSE FIPS Cipher Suites" in den unten angegebenen Links mit zugehörigen Informationen.
Nächste Schritte
Konfigurieren Sie den Browser so, dass er die mindestens erforderliche
TLS-Version sendet, die vom Apache Tomcat-Server akzeptiert wird. Bei Microsoft Internet Explorer ist TLS möglicherweise nicht aktiviert. Um TLS zu aktivieren, öffnen Sie Internet Explorer und klicken Sie auf
. Wählen Sie auf der Registerkarte Erweitert die Option
TLS version verwenden aus. Dabei ist
die TLS-Version die mindestens erforderliche Clientversion, die der Server akzeptiert.
Wenn Sie Provider verwenden, die von FIPS 140-2 genehmigt sind, stellen Sie sicher,
dass die Zertifikate und Keystores die unterstützten Algorithmen beinhalten.
Eine Liste der unterstützten Schlüssel und Signaturalgorithmen finden Sie unter "The Java FIPS-approved providers, IBMJSSEFIPS and IBMJCEFIPS."