在 Rational DOORS Web Access 中配置 FIPS 140-2 相符性

您可以配置 Rational® DOORS® Web Access 在通訊時使用符合「美國聯邦資訊處理標準 (FIPS) 140-2 層次 1」的安全 Socket。 該標準定義了在安全系統中所用之加密模組必須滿足的安全需求,藉此保護 IT 系統中的一般資訊。

關於這項作業

Rational DOORS Web Access 使用 IBMJSSE2 提供者作為 「Java™ Secure Socket 延伸 (JSSE)」提供者。IBMJSSE2 不需要 FIPS 140-2 核准,因為它將加密與簽章功能委派給 「Java 加密延伸 (JCE)」提供者。Rational DOORS Web Access 使用 IBMJCEFIPS 提供者來加密資料。IBMJCEFIPS 經過 FIPS 140-2 核准。

如果要將 Rational DOORS Web Access 配置成使用 IBMJCEFIPS 提供者,請執行下列動作:
  • 編輯 IBM® SDK java.security 檔案來包含 IBMJCEFIPS 與 IBMJCE 提供者, 並指定 IBM 安全 Socket 程式庫。
  • 編輯 Apache Tomcat 啟動 Script 檔案來設定系統內容以指定符合 FIPS 140-2 的設定。
  • 編輯 Apache Tomcat 伺服器配置檔來限制 HTTPS 通訊只使用 FIPS 140-2 支援的通訊協定與密碼組合。

程序

  1. 在編輯器中開啟 java.security 檔案。 該檔案是在 Rational DOORS Web Access 安裝目錄下的 OS JRE 程式庫中;例如,
    C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\win32\ibm-java-i386-60\jre\lib\security
  2. 在檔案中,新增下列項目至提供者清單:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. 將清單中的其他提供者重新編號以包含這些項目:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. 移除這些 SocketFactory 與 ServerSocketFactory 項目的註解標記 (#),然後指定安全 Socket 程式庫:
    ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl
    ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl
  5. 儲存和關閉檔案。
  6. 在編輯器中開啟 Apache Tomcat 啟動 Script 檔。
    • 在 Windows 系統中,server.start.bat Script 檔是在 Rational DOORS Web Access 安裝目錄中; 例如,
      C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1
      接近檔案底端, 在 cd %CATALINA_HOME%\bin 項目之前,新增 set JAVA_OPTS 項目。然後確定這些項目顯示如下:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • 在 UNIX 系統中,server.start.sh Script 檔是在 Rational DOORS Web Access 安裝目錄中。 在 export JAVA_OPTS 項目之前,新增 JAVA_OPTS 項目。 然後確定這些項目顯示如下:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true
      
      export JAVA_OPTS
  7. 儲存和關閉檔案。
  8. 在編輯器中開啟 Apache Tomcat server.xml 檔案。 該檔案是在 Rational DOORS Web Access 安裝架構中的 server/conf 目錄中;例如,
    C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  9. sslProtocol 值設定為最低 TLS 版本; 例如:
    sslProtocol="TLS"
    此設定會在伺服器與特定用戶端通訊期間使用最強的 TLS 版本。
  10. 將密碼組合設定為符合 FIPS 140-2 的密碼; 例如:
    ciphers="SSL_RSA_WITH_AES_256_CBC_SHA"
    如需可支援密碼組合的清單,請參閱下列相關資訊鏈結中的「IBM JSSE FIPS 密碼組合」。

下一步

配置瀏覽器以 Apache Tomcat 伺服器可接受的最低 TLS 版本傳送。 Microsoft Internet Explorer 可能未啟用 TLS。如果要啟用 TLS,請開啟 Internet Explorer 然後按一下「工具 > 網際網路選項。在進階標籤中, 選取使用 TLS version 選項,其中 TLS 版本是伺服器可接受的最低用戶端版本。

如果您使用 FIPS 140-2 核准的提供者,請確定憑證與金鑰儲存庫包含支援的演算法。 如需可支援的金鑰與簽章演算法清單,請參閱「FIPS 核准的 Java 提供者,IBMJSSEFIPS 與 IBMJCEFIPS"。


意見