FIPS サポート

サーバー構成 > サーバーインストール後のセキュリティ > Secure Sockets Layer > FIPS サポート > FIPS サポート

FIPS サポート

Windchill RV&S Server の SSL の実装は、FIPS 140-2 標準に準拠するように構成できます。Windchill RV&S は FIPS 140-2 に準拠するため、bc-fips-1.0.2.jar (Bouncy Castle のモジュール) を使用します。TLSv 1.3 サポートの場合、Windchill RV&S は bctls-fips-1.0.11.jar を使用します。BC FIPS jar は FIPS 140-2、レベル 1 の要件を満たすように設計、実装されています。

FIPS 140-2 構成は次の接続形態でのみサポートされます。

• Windchill RV&S Client - Windchill RV&S Server

• Windchill RV&S Server - Windchill RV&S Server

• Web ブラウザ - Windchill RV&S Server

• Windchill RV&S Agent - Windchill RV&S Server

• Windchill RV&S API (Java または C) - Windchill RV&S Server

サーバー証明書を作成していない場合は、Windchill RV&S ドキュメンテーションに記述されている手順に従って、証明書の作成、署名、Windchill RV&S Server PKCS12 キーストアへのインポートを行います。

<Windchill RV&S Server のインストールディレクトリ>/data/tls/certificate.p12

サーバー証明書の作成に関する詳細については、署名済みのサーバー証明書の作成を参照してください。

FIPS に対応するように Windchill RV&S を設定するには、次の手順を実行します。

1. SSL でデータベースサーバーを設定し、データベースサーバーの公開キー証明書を取得します。この証明書を信頼済み証明書として <サーバーのインストールディレクトリ>/data/tls/certificate.p12 キーストアにインポートします。

2. 次のように、mks.dynamicPool.config<サーバーのインストールディレクトリ>/config/properties/is.properties のプロパティに追加パラメータを設定します。

mks.dynamicPool.config=url\=jdbc\:sqlserver\://<hostname>\:<port>;databaseName\=<dbname>;
selectMethod\=cursor;encrypt=true;fips=true;trustStoreType=PKCS12;fipsProvider=BCFIPS;
trustServerCertificate=false;hostNameInCertificate=<hostnameInCert>;trustStorePassword=<password>;
trustStore=<ServerInstallDir>/data/tls/certificate.p12,driver\=mks.frame.sql.jdbc.mssql.Driver,initialCapacity\=5,maxCapacity\=100,testTable\=VersionIdentity

3. <Integrity Server インストールディレクトリ>/config/properties/is.properties: に次のプロパティを追加し、SSL 用に BC FIPS プロバイダを使用するように Windchill RV&S Server を設定します。

mksis.secure.provider=bcfips

4. 変更を有効にするには、Windchill RV&S Server を再起動します。

5. これらのユーティリティによって BC FIPS プロバイダがインストールされるように、スタンドアロン DB ユーティリティの次の lax ファイルを変更します。

◦ <ServerInstallDir>/bin/isutil.lax

◦ <ServerInstallDir>/bin/PatchServer.lax

◦ <ServerInstallDir>/bin/collectSupportPackage.lax

6. <JDK_INSTALL_DIR>/lib/security/java.security ファイルでプロパティ security.overridePropertiesFile が true に設定されていることを確認します。

7. プロパティ security.provider.N の最大番号を書き留めておきます。N がプロパティ番号です。プロパティ番号が NN であるとします。

8. 新しいテキストファイルを作成します。ここでは新しいテキストファイルが JavaSecurityFips.txt であり、ファイルに次のエントリが追加されるものとします。

security.provider.M=org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider。M は NN+1 です。

9. 前述の各 lax ファイルを次のように編集します。

a. bc-fips-1.0.2.jar、bctls-fips-1.0.11.jar、bcprov-jdk15on-1.69 jar のパスを lax.class.path プロパティに追加します。パスは :../server/mks/lib/bc-fips-1.0.2.jar:../server/mks/lib/bcprov-jdk15on-1.69.jar で、lax ファイルの場所を基準とした相対パスです。

b. 新しい引数 -Djava.security.properties を追加のプロパティ lax.nl.java.option に追加します。この値を JavaSecurityFips ファイルの場所に次のように設定します。

lax.nl.java.option.additional=-Djava.security.properties=<location of JavaSecurityFips.txt>

10. mksservice.conf ファイルで、bc-fips-1.0.2.jar、bctls-fips-1.0.11.jar、bcprov-jdk15on-1.69.jar の mks.java.classpath エントリを次の順序で追加します。

mks.java.classpath.xx=/<serverinstalldir>/server/mks/lib/bc-fips-1.0.2.jar

mks.java.classpath.xx=/<serverinstalldir>/server/mks/lib/bcprov-jdk15on-1.69.jar

mks.java.classpath プロパティの末尾の数字 xx が一意であり、mksservice.conf ファイルの任意の場所で繰り返されないようにしてください。

mksservice.conf ファイルを編集した後、Windchill RV&S Server を停止して再起動します。

これは役に立ちましたか?