Konformität mit FIPS 140-2 in Rational DOORS Web Access konfigurieren

Sie können Rational DOORS Web Access für die Kommunikation über sichere Sockets in Konformität mit FIPS 140-2 Level 1 (FIPS - Federal Information Processing Standard) konfigurieren. Dieser Standard definiert die Sicherheitsanforderungen, die ein Verschlüsselungsmodul erfüllen muss, das in einem Sicherheitssystem für den Schutz nicht klassifizierter Informationen in IT-Systemen verwendet wird.

Informationen zu diesem Vorgang

Rational DOORS Web Access verwendet den IBMJSSE2-Provider als JSSE-Provider (JSSE - Java™ Secure Socket Extension). Für IBMJSSE2 ist keine FIPS 140-2-Genehmigung erforderlich, da die Verschlüsselung und Signaturfunktionen an einen JCE-Provider (JCE - Java Cryptography Extension) weitergeleitet werden. Rational DOORS Web Access verwendet den IBMJCEFIPS-Provider für die Datenverschlüsselung. IBMJCEFIPS ist für FIPS 140-2 genehmigt.

So konfigurieren Sie Rational DOORS Web Access für die Verwendung des IBMJCEFIPS-Providers:
  • Bearbeiten Sie die IBM® SDK-Datei java.security. Fügen Sie die Provider IBMJCEFIPS und IBMJCE ein und geben Sie die IBM Secure Sockets Library an.
  • Bearbeiten Sie die Apache Tomcat-Startscriptdatei. Legen Sie dort die Systemeigenschaft fest, die die FIPS 140-2-konforme Einstellung angibt.
  • Bearbeiten Sie die Apache Tomcat-Serverkonfigurationsdatei. Schränken Sie die HTTPS-Kommunikation auf Protokolle und Cipher-Suites ein, die von FIPS 140-2 unterstützt werden.

Vorgehensweise

  1. Öffnen Sie die Datei java.security in einem Editor. Diese Datei befindet sich im Installationsverzeichnis von Rational DOORS Web Access in der JRE-Bibliothek des Betriebssystems. Beispiel:
    C:\Programme (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\win32\ibm-java-i386-60\jre\lib\security
  2. Fügen Sie in der Datei die folgenden Einträge zur Liste der Provider hinzu:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. Nummerieren Sie die anderen Provider in der Liste um, sodass sie folgende Einträge enthält:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. Entfernen Sie die Kommentarbefehle (#) bei diesen SocketFactory- und ServerSocketFactory-Einträgen und geben Sie die Bibliotheken für sichere Sockets an:
    ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl
    ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl
  5. Speichern und schließen Sie die Datei.
  6. Öffnen Sie die Apache Tomcat-Startscriptdatei in einem Editor.
    • Unter Windows-Systemen befindet sich die Scriptdatei server.start.bat im Installationsverzeichnis von Rational DOORS Web Access. Beispiel:
      C:\Programme (x86)\IBM\Rational\DOORS Web Access\1.5.0.1
      Fügen Sie in der Nähe des Dateiendes vor dem Eintrag cd %CATALINA_HOME%\bin den Eintrag set JAVA_OPTS hinzu. Vergewissern Sie sich anschließend, dass die Einträge wie folgt aussehen:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Unter UNIX-Systemen befindet sich die Scriptdatei server.start.sh im Installationsverzeichnis von Rational DOORS Web Access. Fügen Sie vor dem Eintrag export JAVA_OPTS den Eintrag JAVA_OPTS ein. Vergewissern Sie sich anschließend, dass die Einträge wie folgt aussehen:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      
      export JAVA_OPTS
  7. Speichern und schließen Sie die Datei.
  8. Öffnen Sie die Apache Tomcat-Datei server.xml in einem Editor. Diese Datei befindet sich bei der Rational DOORS Web Access-Installation im Verzeichnis server/conf, beispielsweise:
    C:\Programme (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  9. Legen Sie den sslProtocol-Wert auf die mindestens erforderliche TLS-Version fest. Beispiel:
    sslProtocol="TLS"
    Diese Einstellung verwendet die sicherste TLS-Version bei der Kommunikation zwischen dem Server und einem bestimmten Client.
  10. Legen Sie für die Cipher-Suites FIPS 140-2-konforme Verschlüsselungen fest. Beispiel:
    ciphers="SSL_RSA_WITH_AES_256_CBC_SHA"
    Eine Liste der unterstützten Cipher-Suites finden Sie unter "IBM JSSE FIPS Cipher Suites" in den unten angegebenen Links mit zugehörigen Informationen.

Nächste Schritte

Konfigurieren Sie den Browser so, dass er die mindestens erforderliche TLS-Version sendet, die vom Apache Tomcat-Server akzeptiert wird. Bei Microsoft Internet Explorer ist TLS möglicherweise nicht aktiviert. Um TLS zu aktivieren, öffnen Sie Internet Explorer und klicken Sie auf Extras > Internetoptionen. Wählen Sie auf der Registerkarte Erweitert die Option TLS version verwenden aus. Dabei ist die TLS-Version die mindestens erforderliche Clientversion, die der Server akzeptiert.

Wenn Sie Provider verwenden, die von FIPS 140-2 genehmigt sind, stellen Sie sicher, dass die Zertifikate und Keystores die unterstützten Algorithmen beinhalten. Eine Liste der unterstützten Schlüssel und Signaturalgorithmen finden Sie unter "The Java FIPS-approved providers, IBMJSSEFIPS and IBMJCEFIPS."


Feedback