Rational DOORS Web Access での NSA Suite B 暗号方式準拠の構成

Rational® DOORS® Web Access が、National Security Agency (NSA) Suite B 暗号方式ガイドラインに準拠して、セキュア・ソケット経由で通信するよう構成できます。Suite B ガイドラインは、既存の FIPS-2 および 800-131A の準拠ポリシーを強化したものです。

始める前に

Apache ActiveMQ のアダプテーションである Rational DOORS Web Access ブローカーを構成します。『Rational DOORS Web Access のインストール前提条件』を参照してください。

このタスクについて

Rational DOORS Web Access が Suite B に準拠するよう構成するには、必要な最小暗号強度を満たしていない証明書による要求を拒否するよう Apache Tomcat サーバーの構成値を変更します。

FIPS 140-2 に準拠したセキュリティー・プロバイダーを使用し、Suite B モードで稼働するようシステム・プロパティーを構成する必要があります。この構成により、適切なプロトコルと暗号スイートを使用できるように なります。Suite B 準拠では、TLS 1.2 プロトコルのみが許可されます。指定されている場合、証明書、鍵、 およびセキュアな乱数発生ルーチンがすべて Suite B に準拠していることを確認する必要があります。

重要: TLS 1.2 プロトコルを指定する場合は、ベンダーの資料を参照して、ご使用のブラウザーがこのバージョンをサポートしているかどうかを確認してください。
Rational DOORS Web Access が Suite B に準拠するよう構成するには、以下を実行します。
  • 始動スクリプト・ファイルで、Suite B モードを指定するシステム・プロパティーを設定します。
  • TLS 1.2 プロトコルとサポートされる暗号スイートのみを受け入れるよう、Apache Tomcat サーバーの構成を変更します。
  • 暗号鍵が、必要な最小鍵強度を満たしていることを確認します。
  • デジタル署名が、必要な最小強度を満たしていることを確認します。
TLS、および最小レベルの 128 ビットのセキュリティーで Suite B に準拠するよう構成されているシステムでは、TLS 1.2 を使用し、クライアントまたはサーバーの認証に ECDSA-256 または ECDSA-384 を使用する必要があります。Suite B プロファイルをサポートするため、以下のシステム・プロパティーが提供されています。
com.ibm.jsse2.suiteB=128|192|false
このシステム・プロパティーには、 以下のパラメーターがあります。
  • 128。128 ビットの最小レベルのセキュリティーを指定します。
  • 192。192 ビットの最小レベルのセキュリティーを指定します。
  • false。システムが Suite B に準拠していないことを指定します。 この値がデフォルトです。
com.ibm.jsse2.suiteB システム・プロパティーを設定している場合、 IBMJSSE2 は指定されたセキュリティー・レベルへの準拠を確保します。 IBMJSSE2 は、プロトコル、鍵、および証明書が、要求されたプロファイルに準拠していることを検証します。

手順

  1. Apache Tomcat 始動スクリプト・ファイルをエディターで開きます。
    • Windows システムでは、server.start.bat スクリプト・ファイルは、Rational DOORS Web Access インストール・ディレクトリーにあります。例: C:¥Program Files (x86)¥IBM¥Rational¥DOORS Web Access¥1.5.0.1。ファイル下部付近の Dcom.ibm.jsse2.usefipsprovider の項目の後ろに、Dcom.ibm.jsse2.suiteBset JAVA_OPTS 項目を追加します。 その後、項目が以下のようになっているのを確認します。
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      
      cd %CATALINA_HOME%¥bin
      call ".¥startup.bat"
      重要: このファイルに Dcom.ibm.jsse2.sp800-131 プロパティーが含まれている場合、 そのプロパティーは削除してください。
    • UNIX では、server.start.sh スクリプト・ファイルは、Rational DOORS Web Access インストール・ディレクトリーにあります。JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 項目の後ろに、 Dcom.ibm.jsse2.suiteBJAVA_OPTS 項目を追加します。 その後、項目が以下のようになっているのを確認します。
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128
      
      export JAVA_OPTS
      重要: このファイルに Dcom.ibm.jsse2.sp800-131 プロパティーが含まれている場合、 そのプロパティーは削除してください。
  2. Apache Tomcat server.xml ファイルをエディターで開きます。 このファイルは、Rational DOORS Web Access インストールの server/confディレクトリーにあります。例: C:¥Program Files (x86)¥IBM¥Rational¥DOORS Web Access¥1.5.0.1¥server¥conf
  3. sslProtocol の値を TLS 1.2 に設定します。例:
    sslProtocol="TLSv1.2"
  4. 暗号スイートを Suite B 準拠の暗号に設定します。例:
    ciphers=”SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256”
    Suite B に準拠するために承認された暗号スイートのみを使用するよう Secure Sockets Layer (SSL) が構成されていることを確認します。

次のタスク

TLS 1.2 をサポートするようクライアント・ブラウザーを更新します。

クライアントとサーバーの証明書が適切に署名されていることを確認します。 鍵ストア内の鍵を確認します。


フィードバック