您可以配置 IBM® Rational® DOORS® Web Access,使其在通訊時使用符合「聯邦資訊存取安全標準 (FIPS) 140-2 層次 1」標準的安全 Socket。
該標準定義了在安全系統中所用之加密模組必須滿足的安全需求,藉此保護 IT 系統中的一般資訊。
關於這項作業
Rational DOORS Web Access 使用 IBMJSSE2 提供者作為 Java™ Secure Socket Extension (JSSE) 提供者。IBMJSSE2 不需要 FIPS 140-2 核准,因為它將加密與簽章功能委派給
「Java 加密延伸 (JCE)」提供者。Rational DOORS Web Access 使用 IBMJCEFIPS 提供者來加密資料。IBMJCEFIPS
經過 FIPS 140-2 核准。
將
Rational DOORS Web Access 配置成使用 IBMJCEFIPS 提供者時,所涉及的步驟如下:
- 編輯 IBM SDK java.security 檔案來包含 IBMJCEFIPS 與 IBMJCE 提供者,並指定 IBM 安全 Socket 程式庫。
- 編輯 Apache Tomcat 啟動 Script 檔案來設定系統內容以指定符合 FIPS 140-2 的設定。
- 編輯 Apache Tomcat 伺服器配置檔來限制 HTTPS 通訊只使用 FIPS 140-2 支援的通訊協定與密碼組合。
程序
- 在編輯器中開啟 java.security 檔案。 該檔案位於 Rational DOORS Web Access 安裝目錄的 OS JRE 程式庫中;例如:
C:\Program Files\IBM\Rational\DOORS Web Access\version\win32\jre\lib\security
- 在檔案中,新增下列項目至提供者清單:
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
- 將清單中的其他提供者重新編號,以包含這些項目:
security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
security.provider.4=com.ibm.crypto.provider.IBMJCE
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.security.sasl.IBMSASL
security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.10=org.apache.harmony.security.provider.PolicyProvider
security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
- 儲存和關閉檔案。
- 在編輯器中開啟 Apache Tomcat 啟動 Script 檔。
- 在 Windows 系統中,server.start.bat Script 檔位於
Rational DOORS Web Access 安裝目錄;例如:
C:\Program Files\IBM\Rational\DOORS Web Access\version
接近檔案底端,在 cd %CATALINA_HOME%\bin 項目之前,針對 com.ibm.jsse2.usefipsprovider 參數新增 set JAVA_OPTS 項目:set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true
cd %CATALINA_HOME%\bin
call ".\startup.bat"
- 在 Linux 系統中,server.start.sh Script 檔位於
Rational DOORS Web Access 安裝目錄。在 export JAVA_OPTS 項目之前,針對 com.ibm.jsse2.usefipsprovider 參數新增 JAVA_OPTS 項目:
JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
export JAVA_OPTS
- 儲存和關閉檔案。
- 在編輯器中開啟 Apache Tomcat server.xml 檔案。
該檔案位於 Rational DOORS Web Access 安裝中的 server/conf 目錄;例如:
C:\Program Files\IBM\Rational\DOORS Web Access\version\server\conf
- 在 HTTPS 連接器區段(相關說明位於將 Rational DOORS Web Access 配置成使用 SSL 或 TLS)中,將 sslProtocol 值設為最低 TLS 版本;例如:
sslProtocol="TLS"
此設定會在伺服器與特定用戶端通訊期間使用最強的 TLS 版本。
- 設定密碼組合,以進一步限制伺服器將接受的密碼組合;例如:
ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA,
SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
如需支援的密碼組合清單,請參閱相關資訊中的「IBM JSSE FIPS 密碼組合」。
下一步
配置瀏覽器以 Apache Tomcat 伺服器可接受的最低 TLS 版本傳送。
Microsoft Internet Explorer 可能未啟用 TLS。如果要啟用 TLS,請開啟 Internet
Explorer 然後按一下「。在進階標籤中,選取使用 TLS version,其中 version 是伺服器可接受的最低用戶端版本。
如果您使用 FIPS 140-2 核准的提供者,請確定憑證與金鑰儲存庫包含支援的演算法。
如需可支援的金鑰與簽章演算法清單,請參閱「FIPS 核准的 Java 提供者,IBMJSSEFIPS 與 IBMJCEFIPS"。