Konformität mit FIPS 140-2 in Rational DOORS Web Access konfigurieren

Sie können IBM® Rational DOORS so konfigurieren, dass die Kommunikation über sichere Sockets unter Einhaltung von Federal Information Processing Standard (FIPS) 140-2 Level 1 erfolgt. Dieser Standard definiert die Sicherheitsanforderungen, die ein Verschlüsselungsmodul erfüllen muss, das in einem Sicherheitssystem für den Schutz nicht klassifizierter Informationen in IT-Systemen verwendet wird.

Informationen zu diesem Vorgang

Rational DOORS Web Access verwendet den IBMJSSE2-Provider als JSSE-Provider (JSSE = Java™ Secure Socket Extension). Für IBMJSSE2 ist keine FIPS 140-2-Genehmigung erforderlich, da die Verschlüsselung und Signaturfunktionen an einen JCE-Provider (JCE - Java Cryptography Extension) weitergeleitet werden. Rational DOORS Web Access verwendet den IBMJCEFIPS-Provider für die Datenverschlüsselung. IBMJCEFIPS ist für FIPS 140-2 genehmigt.

Die Konfiguration von Rational DOORS Web Access für die Verwendung des IBMJCEFIPS-Providers umfasst die folgenden Schritte:
  • Bearbeiten Sie die IBM SDK-Datei java.security. Fügen Sie die Provider IBMJCEFIPS und IBMJCE ein und geben Sie die IBM Secure Sockets Library an.
  • Bearbeiten Sie die Apache Tomcat-Startscriptdatei. Legen Sie dort die Systemeigenschaft fest, die die FIPS 140-2-konforme Einstellung angibt.
  • Bearbeiten Sie die Apache Tomcat-Serverkonfigurationsdatei. Schränken Sie die HTTPS-Kommunikation auf Protokolle und Cipher-Suites ein, die von FIPS 140-2 unterstützt werden.

Vorgehensweise

  1. Öffnen Sie die Datei java.security in einem Editor. Die Datei befindet sich im Installationsverzeichnis von Rational DOORS Web Access in der OS JRE-Bibliothek. Beispiel:
    C:\Program Files (x86)\IBM\Rational\DOORS Web Access\version\win32\jre\lib\security
  2. Fügen Sie in der Datei die folgenden Einträge zur Liste der Provider hinzu:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. Nummerieren Sie die anderen Provider in der Liste um, sodass sie folgende Einträge enthält:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. Speichern und schließen Sie die Datei.
  5. Öffnen Sie die Apache Tomcat-Startscriptdatei in einem Editor.
    • Auf Windows-Systemen befindet sich die Scriptdatei server.start.bat im Installationsverzeichnis von Rational DOORS Web Access. Beispiel:
      C:\Program Files (x86)\IBM\Rational\DOORS Web Access\version
      Fügen Sie in der Nähe des Dateiendes vor dem Eintrag cd %CATALINA_HOME%\bin den Eintrag set JAVA_OPTS für den Parameter com.ibm.jsse2.usefipsprovider hinzu:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Auf UNIX-Systemen befindet sich die Scriptdatei server.start.sh im Installationsverzeichnis von Rational DOORS Web Access. Fügen Sie vor dem Eintrag export JAVA_OPTS den Eintrag JAVA_OPTS für den Parameter com.ibm.jsse2.usefipsprovider ein:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      
      export JAVA_OPTS
  6. Speichern und schließen Sie die Datei.
  7. Öffnen Sie die Apache Tomcat-Datei server.xml in einem Editor. Diese Datei befindet sich bei der Rational DOORS Web Access-Installation im Verzeichnis server/conf. Beispiel:
    C:\Program Files (x86)\IBM\Rational\DOORS Web Access\version\server\conf
  8. Legen Sie im Abschnitt für den HTTPS-Connector (eine Beschreibung finden Sie unter Rational DOORS Web Access für die Verwendung von SSL oder TLS konfigurieren) den sslProtocol-Wert auf die mindestens erforderliche TLS-Version fest. Beispiel:
    sslProtocol="TLS"
    Diese Einstellung verwendet die sicherste TLS-Version bei der Kommunikation zwischen dem Server und einem bestimmten Client.
  9. Legen Sie die Cipher-Suites fest, um die vom Server akzeptierte Kommunikation weiter zu beschränken. Beispiel:
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA,
        SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    Eine Liste der unterstützten Cipher-Suites finden Sie unter "IBM JSSE FIPS Cipher Suites" in den zugehörigen Informationen.

Nächste Schritte

Konfigurieren Sie den Browser so, dass er die mindestens erforderliche TLS-Version sendet, die vom Apache Tomcat-Server akzeptiert wird. Bei Microsoft Internet Explorer ist TLS möglicherweise nicht aktiviert. Um TLS zu aktivieren, öffnen Sie Internet Explorer und klicken Sie auf Extras > Internetoptionen. Wählen Sie auf der Registerkarte Erweitert die Option TLS version verwenden aus. Hierbei steht version die mindestens erforderliche Clientversion, die vom Server akzeptiert wird.

Wenn Sie Provider verwenden, die von FIPS 140-2 genehmigt sind, stellen Sie sicher, dass die Zertifikate und Keystores die unterstützten Algorithmen beinhalten. Eine Liste der unterstützten Schlüssel und Signaturalgorithmen finden Sie unter "The Java FIPS-approved providers, IBMJSSEFIPS and IBMJCEFIPS."


Feedback