FIPS 支持

服务器配置 > 安装后的服务器安全性 > 安全套接字层 > FIPS 支持 > FIPS 支持

FIPS 支持

您可将 PTC RV&S 服务器的 SSL 实施配置为符合 FIPS 140-2 标准。PTC RV&S 使用bc-fips-1.0.2.jar (Bouncy Castle 的模块) 以符合 FIPS 140-2 标准。对于 TLSv1.3 支持，PTC RV&S 使用 bctls-fips-1.0.11.jar。BC FIPS jar 的设计和实施符合 FIPS 140-2 级别 1 的要求。

仅以下连接支持 FIPS 140-2 配置：

• PTC RV&S 客户端 - PTC RV&S 服务器

• PTC RV&S 服务器 - PTC RV&S 服务器

• Web 浏览器 - PTC RV&S 服务器

• PTC RV&S 代理 - PTC RV&S 服务器

• PTC RV&S API (Java 或 C) - PTC RV&S 服务器

如果您尚未创建服务器证书，请按照 PTC RV&S 文档中提供的说明来创建证书，对其进行签名，并将其导入到 PTC RV&S 服务器 PKCS12 密钥库中：

<服务器安装目录>/data/tls/certificate.p12

有关创建服务器证书的详细信息，请参阅创建签名服务器证书。

要为 FIPS 配置 PTC RV&S，请执行以下步骤：

1. 在 SSL 上配置数据库服务器，并获取数据库服务器的公钥证书。将此证书作为受信任证书导入到 <服务器安装目录>/data/tls/certificate.p12 密钥库中。

2. 在 <服务器安装目录>/config/properties/is.properties 中为 mks.dynamicPool.config 特性配置其他参数，如下所示：

mks.dynamicPool.config=url\=jdbc\:sqlserver\://<hostname>\:<port>;databaseName\=<dbname>;
selectMethod\=cursor;encrypt=true;fips=true;trustStoreType=PKCS12;fipsProvider=BCFIPS;
trustServerCertificate=false;hostNameInCertificate=<hostnameInCert>;trustStorePassword=<password>;
trustStore=<ServerInstallDir>/data/tls/certificate.p12,driver\=mks.frame.sql.jdbc.mssql.Driver,initialCapacity\=5,maxCapacity\=100,testTable\=VersionIdentity

3. 将 PTC RV&S 服务器配置为对 SSL 使用 BC FIPS 提供者，方法是在 <服务器安装目录>/config/properties/is.properties:

mksis.secure.provider=bcfips

中添加以下特性：

4. 重新启动 PTC RV&S 服务器，使更改生效。

5. 修改独立数据库实用工具的以下 lax 文件，以使这些实用工具安装 BC FIPS 提供者：

◦ <服务器安装目录>/bin/isutil.lax

◦ <服务器安装目录>/bin/PatchServer.lax

◦ <服务器安装目录>/bin/collectSupportPackage.lax

6. 请确保将 <JDK_INSTALL_DIR>/lib/security/java.security 文件中的 security.overridePropertiesFile 特性设置为 true。

7. 记下 security.provider.N 特性中的最大数字，其中 N 为特性编号。例如，假设此数字为 NN。

8. 创建新的文本文件。在本用例中，假定新的文本文件为 JavaSecurityFips.txt，并将以下条目添加到文件中：

security.provider.M=org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider，其中 M 为 NN+1。

9. 按以下方式编辑上述每个 lax 文件：

a. 将 bc-fips-1.0.2.jar、bctls-fips-1.0.11.jar 和 bcprov-jdk15on-1.69 jar 的路径添加到 lax.class.path 特性中。该路径为 :../server/mks/lib/bc-fips-1.0.2.jar:../server/mks/lib/bcprov-jdk15on-1.69.jar，这是相对于 lax 文件的位置。

b. 在 lax.nl.java.option 附加特性中添加一个新的参数 -Djava.security.properties。将其值设置为 JavaSecurityFips 文件的位置，如下所示：

lax.nl.java.option.additional=-Djava.security.properties=<location of JavaSecurityFips.txt>

10. 在 mksservice.conf 文件中，按以下顺序为 bc-fips-1.0.2.jar、bctls-fips-1.0.11.jar 和 bcprov-jdk15on-1.69.jar 附加 mks.java.classpath 条目：

mks.java.classpath.xx=/<serverinstalldir>/server/mks/lib/bc-fips-1.0.2.jar

mks.java.classpath.xx=/<serverinstalldir>/server/mks/lib/bcprov-jdk15on-1.69.jar

请确保 mks.java.classpath 特性尾部的数字 xx 是唯一的，并且未在 mksservice.conf 文件中重复。

在 mksservice.conf 文件编辑完成后，请停止 PTC RV&S 服务器，并重新启动。

这对您有帮助吗?