Configuración del cumplimiento de FIPS 140-2 en Rational DOORS Web Access

Puede configurar IBM® Rational DOORS Web Access para comunicarse a través de sockets seguros en cumplimiento del Estándar federal de procesamiento de información (FIPS) 140-2 nivel 1. Este estándar define los requisitos de seguridad que debe cumplir una modalidad criptográfica utilizada en un sistema de seguridad para proteger información sin clasificar en los sistemas de TI.

Acerca de esta tarea

Rational DOORS Web Access utiliza el proveedor IBMJSSE2 como proveedor de Java™ Secure Socket Extension (JSSE). IBMJSSE2 no necesita aprobación FIPS 140-2 porque delega funciones de cifrado y firma a un proveedor de Java Cryptography Extension (JCE). Rational DOORS Web Access utiliza el proveedor IBMJCEFIPS para cifrar datos. IBMJCEFIPS está aprobado para FIPS 140-2.

La configuración de Rational DOORS Web Access para usar el proveedor IBMJCEFIPS conlleva estos pasos:
  • Edite el archivo java.security de IBM SDK para incluir los proveedores IBMJCEFIPS e IBMJCE y especificar la biblioteca de sockets seguros de IBM.
  • Edite el archivo de script de inicio Apache Tomcat para establecer la propiedad del sistema que especifica el valor compatible con FIPS 140-2.
  • Edite el archivo de configuración del servidor Apache Tomcat para restringir la comunicación de https a protocolos y paquetes de cifrado admitidos por FIPS 140-2.

Procedimiento

  1. Abra el archivo java.security en un editor. Este archivo está en el directorio de instalación de Rational DOORS Web Access en la biblioteca JRE del sistema operativo (SO); por ejemplo,
    C:\Archivos de programa\IBM\Rational\DOORS Web Access\versión\win32\jre\lib\security
  2. En el archivo, añada estas entradas a la lista de proveedores:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
  3. Vuelva a numerar el resto de los proveedores de la lista para que incluya estas entradas:
    security.provider.1=com.ibm.fips.jsse.IBMJSSEFIPSProvider
    security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.6=com.ibm.security.cert.IBMCertPath
    security.provider.7=com.ibm.security.sasl.IBMSASL
    security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.10=org.apache.harmony.security.provider.PolicyProvider
    security.provider.11=com.ibm.security.jgss.mech.spnego.IBMSPNEGOE
  4. Guarde y cierre el archivo.
  5. Abra el archivo de script de inicio de Apache Tomcat en un editor.
    • En sistemas Windows, el archivo de script server.start.bat está en el directorio de instalación de Rational DOORS Web Access; por ejemplo,
      C:\Archivos de programa\IBM\Rational\DOORS Web Access\versión
      Hacia el final del archivo, antes de la entrada cd %CATALINA_HOME%\bin, añada la entrada set JAVA_OPTS para el parámetro com.ibm.jsse2.usefipsprovider:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • En los sistemas Linux, el archivo de script server.start.sh se encuentra en el directorio de instalación de Rational DOORS Web Access. Antes de la entrada export JAVA_OPTS, añada la entrada JAVA_OPTS para el parámetro com.ibm.jsse2.usefipsprovider:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      
      export JAVA_OPTS
  6. Guarde y cierre el archivo.
  7. Abra el archivo server.xml de Apache Tomcat en un editor. Este archivo está en la instalación de Rational DOORS Web Access del directorio server/conf; por ejemplo,
    C:\Archivos de programa\IBM\Rational\DOORS Web Access\versión\server\conf
  8. En la sección del conector HTTPS, que se describe en Configuración de Rational DOORS Web Access para usar SSL o TLS, establezca el valor sslProtocol en la versión de TLS mínima; por ejemplo:
    sslProtocol="TLS"
    Este valor utiliza la versión TLS más potente durante la comunicación entre el servidor y un cliente específico.
  9. Establezca los paquetes de cifrado para restringir más lo que aceptará el servidor; por ejemplo:
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA,
        SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    Para obtener una lista de paquetes de cifrado soportados, consulte "Paquetes de cifrado de IBM JSSE FIPS" en la Información relacionada.

Qué hacer a continuación

Configure el navegador para enviar al menos la versión TLS mínima que acepte el servidor Apache Tomcat. Puede que Microsoft Internet Explorer no tenga TLS habilitado. Para habilitar TLS, abra Internet Explorer y pulse Herramientas > Opciones de Internet. En el separador Avanzado, seleccione Usar TLS versión, donde versión será la versión de cliente mínima que acepta el servidor.

Si utiliza proveedores aprobados por FIPS 140-2, asegúrese de que los certificados y almacenes de claves incluyan algoritmos admitidos. Para obtener una lista de algoritmos de firma y clave admitidos, consulte "Los proveedores aprobados de Java FIPS, IBMJSSEFIPS e IBMJCEFIPS".


Comentarios