FIPS 準拠を実現するためのサーバーの構成

基礎となるアプリケーション・サーバーの構成プロパティーを編集することにより、FIPS 140-2 標準に確実に準拠することができます。

このタスクについて

重要: FIPS 機能を有効にして BigFix Inventory サーバーのバージョン 10.0.4 以降をアップグレードした後、jdk.tls.disabledAlgorithms にリストされている RSAPSS、RSASSA-PSSjava.security ファイルに含まれていることを確認します。

手順

  1. 以下のディレクトリーの java.security ファイルを編集します。
    • <installation_dir>/wlp/usr/servers/server1/ (BigFix Inventory 10.0.8 以降)
    • <installation_dir>/jre/jre/lib/security/ (BigFix Inventory 10.0.7 以前)
    1. プロバイダー・リストの IBMJCE の前に com.ibm.crypto.fips.provider.IBMJCEFIPS を配置します。リストに正しく番号が付いていることを確認してください。
    2. RSAPSS、RSASSA-PSS アルゴリズムを jdk.tls.disabled.Algorithms リストに追加します (BigFix Inventory バージョン 10.0.4 以降)
      例: jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, RC4, DES, MD5withRSA, DH keySize < 1024, DESede, EC keySize < 224, 3DES_EDE_CBC, anon, NULL, DES_CBC, RSAPSS, RSASSA-PSS
  2. -Dcom.ibm.jsse2.usefipsprovider=true プロパティーを jvm.options ファイルに追加します。このプロパティーは、Java™ Secure Socket Extension (JSSE2) プロバイダーが FIPS 140-2 モードで実行されるようにします。
    注: 証明書のキーの長さは少なくとも 1024ビットでなければなりません。証明書の署名に使用する署名アルゴリズムは DSA または RSA のいずれでも構いません。IBM 鍵ツール・ユーティリティーを使用して、互換性のある鍵ペアを生成できます。
  3. TLS プロトコルを使用するために、セキュア通信を構成します。

    FIPS 140-2 では、多数の暗号がサポートされています。デフォルトの HTTPS 構成の場合、JSSE が FIPS モードで実行されていると、FIPS 140-2 に準拠した暗号が自動で使用可能になります。server.xml ファイルの SSL サービス構成要素の enabledCiphers 属性に特定の暗号をリストすることにより、その暗号を使用可能にすることができます。