8.6.3. Active la Cryptography FIPS 140-2 pour SSL dans Red Hat Enterprise Linux 6

Procédure 8.3. Voir Conformité Cryptographie FIPS 140-2 pour SSL

1. Créer la base de données

   Créer la base de données NSS dans un répertoire qui appartienne à l'utilisateur jboss.

   $ mkdir -p  /usr/share/jboss-as/nssdb
   $ chown jboss /usr/share/jboss-as/nssdb 
   $ modutil -create -dbdir /usr/share/jboss-as/nssdb
   

2. Créer un fichier de configuration NSS

   Créer un nouveau fichier texte ayant comme nom nss_pkcsll_fips.cfg dans le répertoire /usr/share/jboss-as avec le contenu suivant :

   name = nss-fips
   nssLibraryDirectory=/usr/lib64
   nssSecmodDirectory=/usr/share/jboss-as/nssdb
   nssModule = fips
   

   Le fichier de configuration NSS doit spécifier :
   • un nom,
   • le répertoire où se trouve la bibliothèque, et
   • le répertoire où la base de données NSS a été créée selon l'étape 1.
   Si vous n'êtes pas sur une version 64bit de Red Hat Enterprise Linux 6, alors définir nssLibraryDirectory à /usr/lib à la place de /usr/lib64.

3. Activer le fournisseur SunPKCS11

   Modifier le fichier de configuration java.security de votre JRE ($JAVA_HOME/jre/lib/security/java.security) et ajouter la ligne suivante :

   security.provider.1=sun.security.pkcs11.SunPKCS11  /usr/share/jboss-as/nss_pkcsll_fips.cfg
   

   Notez que le fichier de configuration spécifié sur cette ligne est le fichier créé à l'étape 2.
   Toute autre ligne security.provider.X de ce fichier devra posséder la valeur X +1 pour que la priorité soit donnée à ce fournisseur.

4. Activer le mode FIPS pour la bibliothèque NSS

   Exécutez la commande modutil comme indiqué pour activer le mode FIPS :

   modutil -fips true -dbdir /usr/share/jboss-as/nssdb

   Notez que le répertoire indiqué ici est le répertoire créé à l'étape 1.
   Vous aurez sans doute une erreur de bibliothèque à ce niveau, ce qui vous oblige à régénérer les signatures de bibliothèques sur certains des objets NSS partagés.

5. Modifier le mot de passe du token FIPS

   Définir le mot de passe du token FIPS par la commande suivante. Notez que le nom du token doit correspondre à NSS FIPS 140-2 Certificate DB.

   modutil -changepw "NSS FIPS 140-2 Certificate DB" -dbdir /usr/share/jboss-as/nssdb

   Le mot de passe utilisé pour le token FIPS doit être un mot de passe conforme FIPS.

6. Créer le certificat grâce aux outils NSS

   Saisir la commande suivante pour créer un certificat par les outils NSS.

   certutil -S -k rsa -n jbossweb  -t "u,u,u" -x -s "CN=localhost, OU=MYOU, O=MYORG, L=MYCITY, ST=MYSTATE, C=MY" -d /usr/share/jboss-as/nssdb

7. Configurer le connecteur HTTPS pour utiliser le keystore PKCS11

   Ajouter un connecteur HTTPS par la commande suivante dans JBoss CLI :

   /subsystem=web/connector=https/:add(socket-binding=https,scheme=https,protocol=HTTP/1.1,secure=true)
   

   Puis, ajouter la configuration SSL par la commande suivante, en remplaçant PASSWORD par le mot de passe conforme FIPS de l'étape 5.

   /subsystem=web/connector=https/ssl=configuration:add(name=https,password=PASSWORD,keystore-type=PCKS11,
   cipher-suite="SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,
   TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
   TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,
   TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,
   TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,
   TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA,
   TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,
   TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,
   TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,
   TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
   TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_anon_WITH_AES_128_CBC_SHA,
   TLS_ECDH_anon_WITH_AES_256_CBC_SHA")
   

8. Vérifier

   Vérifier que la JVM puisse lire la clé privée du keystore PKCS11 en exécutant la commande suivante :

   keytool -list -storetype pkcs11