第2章 FIPS モードでの OpenJDK 11 の Red Hat ビルドの設定
Red Hat build of OpenJDK 17 は、起動時に FIPS モードがシステムで有効になっているかどうかを確認します。yes の場合は、グローバルポリシーに従って FIPS を自己設定します。これは、RHEL 8.3 以降のデフォルトの動作です。以前の RHEL 8 リリースでは、com.redhat.fips
システムプロパティーを JVM 引数として true
に設定する必要があります。たとえば、-Dcom.redhat.fips=true
です。
JVM インスタンスの実行中に FIPS モードがシステムで有効になっている場合は、変更を有効にするためにインスタンスを再起動する必要があります。
FIPS モードを有効にする方法は、FIPS モードへのシステムの切り替え を参照してください。
Red Hat build of OpenJDK 17 を設定して、グローバル FIPS 調整をバイパスできます。たとえば、Red Hat build of OpenJDK が提供するスキームではなく、Hardware Security Module (HSM) で FIPS コンプライアンスを有効にする場合があります。
Red Hat build of OpenJDK 17 の FIPS プロパティーは次のとおりです。
security.useSystemPropertiesFile
-
セキュリティープロパティーは、
$JAVA_HOME/conf/security/java.security
またはjava.security.properties
で指定したファイルにあります。 -
デフォルトの
java.security
ファイル内の値を変更するには、特権アクセスが必要です。 - 永続設定です。
-
false
に設定すると、グローバル FIPS と crypto-policies 調整の両方が無効になります。デフォルトではtrue
に設定されます。
-
セキュリティープロパティーは、
java.security.disableSystemPropertiesFile
-
JVM に渡されるシステムプロパティーを引数として渡すシステムプロパティー。たとえば、
-Djava.security.disableSystemPropertiesFile=true
です。 - 非特権アクセスで十分です。
- 非永続的な設定です。
-
true
に設定すると、グローバル FIPS と crypto-policies アライメントの両方が無効になります。security.useSystemPropertiesFile=false
セキュリティープロパティーと同じ効果が生成されます。いずれのプロパティーも異なる動作に設定されている場合は、java.security.disableSystemPropertiesFile
が上書きされます。デフォルトではfalse
に設定されます。
-
JVM に渡されるシステムプロパティーを引数として渡すシステムプロパティー。たとえば、
com.redhat.fips
-
JVM に渡されるシステムプロパティーを引数として渡すシステムプロパティー。たとえば、
-Dcom.redhat.fips=false
です。 - 非特権アクセスで十分です。
- 非永続的な設定です。
-
false
に設定すると、グローバル crypto-policies を適用している間に FIPS 調整を無効にします。以前のプロパティーのいずれかが crypto-policies 調整を無効にするように設定されていると、このプロパティーは効果がありません。つまり、crypto-policies は FIPS 調整の前提条件です。デフォルトではtrue
に設定されます。
-
JVM に渡されるシステムプロパティーを引数として渡すシステムプロパティー。たとえば、