FIPS 準拠を実現するためのサーバーの構成
基礎となるアプリケーション・サーバーの構成プロパティーを編集することにより、FIPS 140-2 標準に確実に準拠することができます。
このタスクについて
重要: FIPS 機能を有効にして BigFix Inventory サーバーのバージョン 10.0.4 以降をアップグレードした後、jdk.tls.disabledAlgorithms にリストされている RSAPSS、RSASSA-PSS が java.security ファイルに含まれていることを確認します。
手順
-
以下のディレクトリーの java.security ファイルを編集します。
- <installation_dir>/wlp/usr/servers/server1/ (BigFix Inventory 10.0.8 以降)
- <installation_dir>/jre/jre/lib/security/ (BigFix Inventory 10.0.7 以前)
-
-Dcom.ibm.jsse2.usefipsprovider=true プロパティーを jvm.options ファイルに追加します。このプロパティーは、Java™ Secure Socket Extension (JSSE2) プロバイダーが FIPS 140-2 モードで実行されるようにします。
注: 証明書のキーの長さは少なくとも 1024ビットでなければなりません。証明書の署名に使用する署名アルゴリズムは DSA または RSA のいずれでも構いません。IBM 鍵ツール・ユーティリティーを使用して、互換性のある鍵ペアを生成できます。
-
TLS プロトコルを使用するために、セキュア通信を構成します。
FIPS 140-2 では、多数の暗号がサポートされています。デフォルトの HTTPS 構成の場合、JSSE が FIPS モードで実行されていると、FIPS 140-2 に準拠した暗号が自動で使用可能になります。server.xml ファイルの SSL サービス構成要素の enabledCiphers 属性に特定の暗号をリストすることにより、その暗号を使用可能にすることができます。