Configuration de la conformité à FIPS 140-2 dans Rational DOORS Web Access

Vous pouvez configurer IBM® Rational DOORS Web Access pour qu'il communique via des connexions sécurisées conformément à la norme FIPS 140-2 (niveau 1). Cette norme définit les exigences de sécurité qu'un module cryptographique utilisé dans un système de sécurité doit satisfaire pour protéger les informations non classifiées dans les systèmes informatiques.

Pourquoi et quand exécuter cette tâche

Rational DOORS Web Access utilise le fournisseur IBMJSSE2 en tant que fournisseur JSSE (Java™ Secure Socket Extension). IBMJSSE2 n'a pas besoin d'approbation FIPS 140-2 car il délègue les fonctions de chiffrement et de signature à un fournisseur JCE (Java Cryptography Extension). Rational DOORS Web Access utilise le fournisseur IBMJCEFIPS pour chiffrer les données. IBMJCEFIPS est approuvé pour FIPS 140-2.

La configuration de Rational DOORS Web Access de manière à utiliser le fournisseur IBMJCEFIPS comporte les étapes suivantes :
  • Editez le fichier IBM SDK java.security pour inclure les fournisseurs IBMJCEFIPS et IBMJCE et pour spécifier la bibliothèque de connexions sécurisées IBM.
  • Editez le fichier de script de démarrage Apache Tomcat pour définir la propriété système qui spécifie le paramètre conforme à FIPS 140-2.
  • Editez le fichier de configuration du serveur Apache Tomcat pour restreindre la communication https aux protocoles et aux algorithmes de cryptographie pris en charge par FIPS 140-2.

Procédure

  1. Ouvrez le fichier java.security dans un éditeur. Ce fichier se trouve dans le répertoire d'installation de Rational DOORS Web Access de la bibliothèque JRE du système d'exploitation. Par exemple :
    C:\Program Files (x86)\IBM\Rational\DOORS Web Access\version\win32\jre\lib\security
  2. Dans le fichier, ajoutez les entrées suivantes à la liste de fournisseurs :
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. Renumérotez les autres fournisseurs de la liste afin d'inclure les entrées suivantes :
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. Enregistrez et fermez le fichier.
  5. Ouvrez le fichier de script de démarrage Apache Tomcat dans un éditeur.
    • Sur les systèmes Windows, le fichier script server.start.bat se trouve dans le répertoire d'installation de Rational DOORS Web Access. Par exemple :
      C:\Program Files (x86)\IBM\Rational\DOORS Web Access\version
      Vers la fin du fichier, avant l'entrée cd %CATALINA_HOME%\bin, ajoutez l'entrée set JAVA_OPTS pour le paramètre com.ibm.jsse2.usefipsprovider :
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Sur les systèmes UNIX, le fichier script server.start.sh se trouve dans le répertoire d'installation de Rational DOORS Web Access. Avant l'entrée export JAVA_OPTS, ajoutez l'entrée JAVA_OPTS pour le paramètre com.ibm.jsse2.usefipsprovider :
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      
      export JAVA_OPTS
  6. Enregistrez et fermez le fichier.
  7. Ouvrez le fichier Apache Tomcat server.xml dans un éditeur. Ce fichier se trouve dans le répertoire d'installation server/conf de Rational DOORS Web Access. Par exemple :
    C:\Program Files (x86)\IBM\Rational\DOORS Web Access\version\server\conf
  8. Dans la section relative au connecteur HTTPS, décrite dans la rubrique Configuration de Rational DOORS Web Access pour utiliser SSL ou TLS, définissez la valeur sslProtocol sur la version TLS minimale. Par exemple :
    sslProtocol="TLS"
    Ce paramètre utilise la version TLS la plus solide lors de la communication entre le serveur et un client spécifique.
  9. Définissez les algorithmes de cryptographie pour restreindre davantage les éléments acceptés par le serveur. Par exemple :
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA,
        SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    Pour obtenir la liste des algorithmes de cryptographie pris en charge, voir "IBM JSSE FIPS Cipher Suites" dans les informations connexes.

Que faire ensuite

Configurez le navigateur en vue d'envoyer au moins la version TLS minimale que le serveur Apache Tomcat accepte. Il se peut que Microsoft Internet Explorer n'ait pas activé TLS. Pour activer TLS, ouvrez Internet Explorer et cliquez sur Outils > Options Internet. Dans l'onglet Avancé, sélectionnez Utiliser TLS version, où version indique la version client minimale que le serveur accepte.

Si vous utilisez des fournisseurs approuvés par FIPS 140-2, vérifiez que les certificats et les fichiers de clés incluent des algorithmes pris en charge. Pour obtenir une liste des algorithmes de clés et de signature pris en charge, voir "The Java FIPS-approved providers, IBMJSSEFIPS and IBMJCEFIPS".


Commentaires en retour