FIPS サポート

サーバー構成 > サーバーインストール後のセキュリティ > Secure Sockets Layer > FIPS サポート

FIPS サポート

PTC RV&S Server の SSL の実装は、FIPS 140-3 標準に準拠するように構成できます。PTC RV&S は FIPS 140-3 に準拠するため、bc-fips-2.1.2.jar (Bouncy Castle のモジュール) を使用します。TLSv 1.3 サポートの場合、PTC RV&S は bctls-fips-2.1.22.jar を使用します。BC FIPS jar は FIPS 140-3、レベル 1 の要件を満たすように設計、実装されています。FIPS 140-3 構成は次の接続形態でのみサポートされます。

• PTC RV&S Client - PTC RV&S Server

• PTC RV&S Server - PTC RV&S Server

• Web ブラウザ - PTC RV&S Server

• PTC RV&S Agent - PTC RV&S Server

• PTC RV&S API (Java または C) - PTC RV&S Server

サーバー証明書を作成していない場合は、PTC RV&S ドキュメンテーションに記述されている手順に従って、証明書の作成、署名、PTC RV&S Server PKCS12 キーストアへのインポートを行います。

<サーバーインストールディレクトリ>/data/tls/certificate.p12

サーバー証明書の作成に関する詳細については、署名済みのサーバー証明書の作成を参照してください。

FIPS に対応するように PTC RV&S を設定するには、次の手順を実行します。

1. SSL でデータベースサーバーを設定し、データベースサーバーの公開キー証明書を取得します。この証明書を信頼済み証明書として <サーバーのインストールディレクトリ>/data/tls/certificate.p12 キーストアにインポートします。

2. 次のように、mks.dynamicPool.config<サーバーのインストールディレクトリ>/config/properties/is.properties のプロパティに追加パラメータを設定します。

mks.dynamicPool.config=url\=jdbc\:sqlserver\://<hostname>\:<port>;databaseName\=<dbname>;
selectMethod\=cursor;encrypt=true;fips=true;trustStoreType=PKCS12;fipsProvider=BCFIPS;
trustServerCertificate=false;hostNameInCertificate=<hostnameInCert>;trustStorePassword=<password>;
trustStore=<ServerInstallDir>/data/tls/certificate.p12,driver\=mks.frame.sql.jdbc.mssql.Driver,initialCapacity\=5,maxCapacity\=100,testTable\=VersionIdentity

3. <Integrity Server インストールディレクトリ>/config/properties/is.properties: に次のプロパティを追加し、SSL 用に BC FIPS プロバイダを使用するように PTC RV&S Server を設定します。

mksis.secure.provider=bcfips

4. 変更を有効にするには、PTC RV&S Server を再起動します。

5. <JDK_INSTALL_DIR>/lib/security/java.security ファイルでプロパティ security.overridePropertiesFile が true に設定されていることを確認します。

6. プロパティ security.provider.N の最大番号を書き留めておきます。N がプロパティ番号です。プロパティ番号が NN であるとします。

7. 新しいテキストファイルを作成します。ここでは新しいテキストファイルが JavaSecurityFips.txt であり、ファイルに次のエントリが追加されるものとします。

security.provider.M=org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider。M は NN+1 です。

8. これらのユーティリティによって BC FIPS プロバイダがインストールされるように、スタンドアロン DB ユーティリティの次の lax ファイルを変更します。

◦ <ServerInstallDir>/bin/isutil.lax

◦ <ServerInstallDir>/bin/PatchServer.lax

◦ <ServerInstallDir>/bin/collectSupportPackage.lax

a. bc-fips-2.1.2.jar、bctls-fips-2.1.22.jar、bcpkix-fips-2.0.10.jar のパスを bcutil-fips-2.0.5.jar lax.class.path プロパティに追加します。パスは :../server/mks/lib/ bc-fips-2.1.2.jar:../server/mks/lib/ bctls-fips-2.1.22.jar で、lax ファイルの場所を基準とした相対パスです。

b. 新しい引数 -Djava.security.properties を追加のプロパティ lax.nl.java.option に追加します。この値を JavaSecurityFips ファイルの場所に次のように設定します。

lax.nl.java.option.additional=-Djava.security.properties=<location of JavaSecurityFips.txt>

9. FIPS に準拠した jar ファイルを構成します。

1. /server/mks/lib から、以下に示す jar ファイルをバックアップします。バックアップ後は、これらの jar ファイルを完全に削除します。

▪ bcpkix-jdk18on-1.78.1.jar

▪ bcprov-jdk18on-1.78.1.jar

▪ jar bcutil-jdk18on-1.78.1.jar

2. PTC サポートの「PTC Requirements Validation & Source Features」セクションの「PTC Software Download」 - 「PTC Requirements Validation & Source (Integrity Lifecycle Manager)」から以下の jar ファイルをダウンロードして /server/mks/lib にコピーします。

▪ bc-fips-2.1.2.jar

▪ bctls-fips-2.1.22.jar

▪ bcutil-fips-2.0.5.jar

▪ bcpkix-fips-2.0.10.jar

10. mksservice.conf ファイルで、bc-fips-2.1.2.jar の mks.java.classpath エントリを以下の順序で追加します。

mks.java.classpath.xx=/<serverinstalldir>/server/mks/lib/bc-fips-2.1.2.jar

mks.java.classpath プロパティの末尾の数字 xx が一意であり、mksservice.conf ファイルの任意の場所で繰り返されないようにしてください。

mksservice.conf ファイルを編集した後、PTC RV&S Server を停止して再起動します。

サーバーが SAML で構成されている場合は、mks.java.additional.XX=-Dopensaml.config.ecdh.defaultKDF=PBKDF2 プロパティを追加します。

これは役に立ちましたか?