Red Hat Summit第2章 Red Hat build of OpenJDK 21 における FIPS 設定
起動時に、Red Hat build of OpenJDK 21 は、システムの FIPS ポリシーが有効化されているか確認します。このポリシーが有効化されている場合、Red Hat build of OpenJDK 21 は、Java アプリケーションが FIPS 要件に準拠できるようにするための一連の自動設定を実行します。
これらの自動設定には、次のアクションが含まれます。
- 暗号化操作用の FIPS 認定ネットワークセキュリティーサービス (NSS) ソフトウェアトークンモジュールを含むセキュリティープロバイダーの制限リストをインストールする
- 利用可能なアルゴリズムとパラメーターを制限する Java 用の Red Hat Enterprise Linux (RHEL) FIPS rypto-policy を適用する
JVM インスタンスの実行中にシステムで FIPS モードが有効になっている場合は、変更を有効にするために JVM インスタンスを再起動する必要があります。
前述した FIPS 自動化をバイパスするように、Red Hat build of OpenJDK 21 を設定できます。たとえば、NSS ソフトウェアトークンモジュールではなく、Hardware Security Module (HSM) を使用して FIPS 準拠を実現することを推奨します。
システム または セキュリティー プロパティーを使用して FIPS 設定を指定できます。
FIPS プロパティーをより深く理解するには、次の JDK プロパティークラスを理解する必要があります。
-
システムプロパティーは、
-Dという接頭辞が付いた JVM 引数であり、通常は‑Dproperty.name=property.valueという形式になります。これらの値を渡すための特権アクセスは必要ありません。起動された JVM のみが設定の影響を受け、永続性はランチャースクリプトの存在に依存します。UTF-8 でエンコードされた値はシステムプロパティーに有効です。 -
セキュリティープロパティーは、
$JRE_HOME/conf/security/java.securityまたはjava.security.propertiesシステムプロパティーが指すファイルで使用できます。$JRE_HOME/conf/security/java.securityファイルの値を変更するには、特権アクセスが必要です。このファイルへの変更は保持され、同じ Red Hat build of OpenJDK 21 のすべてのインスタンスに影響します。基本ラテン文字以外の Unicode 文字は\uXXXXでエンコードする必要があります。
システムプロパティーとセキュリティープロパティーの名前が同じで、異なる値に設定されている場合、システムプロパティーが優先されます。設定によっては、プロパティーが異なる名前を持つ他のプロパティーに影響を与える場合があります。
セキュリティープロパティーとそのデフォルト値の詳細は、java.security ファイルを参照してください。
次のリストは、Red Hat build of OpenJDK 21 の FIPS 設定に影響するプロパティーの詳細を示しています。
| プロパティー | 型 | デフォルト値 | 説明 |
|---|---|---|---|
|
| セキュリティー |
|
このプロパティーを |
|
| システム |
|
|
|
| システム |
|
このプロパティーを |
|
| セキュリティー |
|
このプロパティーは、Red Hat build of OpenJDK 21 が FIPS モードの場合のデフォルトのキーストアタイプを設定します。サポートされる値は |
前述の設定に加えて、FIPS モードで NSS DB キーストアを使用するために特定の設定を適用できます。これらのキーストアは、SunPKCS11 セキュリティープロバイダーと、セキュリティープロバイダーの PKCS#11 バックエンドである NSS ソフトウェアトークンによって処理されます。
次のリストは、Red Hat build of OpenJDK 21 の NSS DB FIPS プロパティーの詳細を示しています。
| プロパティー | 型 | デフォルト値 | 説明 |
|---|---|---|---|
|
| システムまたはセキュリティー |
| NSS DB の場所を指すファイルシステムパス。
このプロパティーの構文は、 |
|
| システムまたはセキュリティー |
|
このプロパティーを使用して、NSS DB PIN を次のいずれかの形式で渡すことができます。
注記
暗号化操作に NSS DB 認証が必要で、ステータスが認証されていない場合、Red Hat build of OpenJDK 21 はこの PIN 値を使用して暗黙的なログインを実行します。アプリケーションは、暗号化操作の前に |
セキュリティー評価を実行して、保存されたキーと証明書のインテグリティーと機密性を保護する設定を決定できるようにします。この評価では、脅威、コンテキスト情報、およびオペレーティングシステムのユーザー分離やファイルシステムの権限など、実施されているその他のセキュリティー対策を考慮する必要があります。たとえば、キーを保存し、マルチユーザー環境で実行されるアプリケーションには、デフォルトの設定値が適切でない場合があります。RHEL の modutil ツールを使用して NSS DB キーストアを作成および管理し、certutil または keytool を使用して証明書とキーをインポートします。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}