6.2. 在具有 FIPS 140-2 兼容加密的系统上配置 Data Grid Server


FIPS (Federal Information 处理标准)是美国联邦计算机系统的标准和指南。虽然 FIPS 由美国联邦政府开发使用,但很多在私营部门中都使用了这些标准。

FIPS 140-2 定义了加密模块的安全要求。您可以使用其他 JDK 安全供应商将 Data Grid 服务器配置为使用遵循 FIPS 140-2 规范的加密密码。

6.2.1. 配置 PKCS11 加密供应商

您可以使用 SunPKCS11-NSS-FIPS 11-NSS-FIPS provider 指定 PKCS11 密钥存储来配置 PKCS11 加密策略。

先决条件

  • 为 FIPS 模式配置您的系统。您可以通过在 Data Grid 命令行界面(CLI)中发出 fips-mode-setup --check 命令来检查您的系统是否启用了 FIPS 模式。
  • 使用 certutil 工具初始化系统范围 NSS 数据库。
  • 使用配置为启用 SunPKCS11 提供程序的 java.security 文件安装 JDK。此提供程序指向 NSS 数据库和 SSL 提供程序。
  • 在 NSS 数据库中安装证书。
注意

OpenSSL 供应商需要一个私钥,但您无法从 PKCS#11 存储检索私钥。FIPS 阻止从 FIPS 兼容的加密模块中导出未加密密钥,因此在 FIPS 模式中无法使用 OpenSSL 供应商。您可以使用 -Dorg.infinispan.openssl=false 参数在启动时禁用 OpenSSL 供应商。

流程

  1. 打开 Data Grid Server 配置进行编辑。
  2. 在 Data Grid 服务器 安全域中添加服务器事件定义。
  3. 使用 SunPKCS11-NSS-FIPS 供应商指定 PKCS11 密钥存储。
  4. 保存对您的配置的更改。
密钥存储配置

XML

<server xmlns="urn:infinispan:server:14.0">
   <security>
      <security-realms>
         <security-realm name="default">
            <server-identities>
               <ssl>
                  <!-- Adds a keystore that reads certificates from the NSS database. -->
                  <keystore provider="SunPKCS11-NSS-FIPS" type="PKCS11"/>
               </ssl>
            </server-identities>
         </security-realm>
      </security-realms>
   </security>
</server>

JSON

{
  "server": {
    "security": {
      "security-realms": [{
        "name": "default",
        "server-identities": {
          "ssl": {
            "keystore": {
              "provider": "SunPKCS11-NSS-FIPS",
              "type": "PKCS11"
            }
          }
        }
      }]
    }
  }
}

YAML

server:
  security:
    securityRealms:
      - name: "default"
        serverIdentities:
          ssl:
            keystore:
              provider: "SunPKCS11-NSS-FIPS"
              type: "PKCS11"

6.2.2. 配置 Bouncy Castle FIPS 加密供应商

您可以在 Data Grid 服务器配置中配置 Bouncy Castle FIPS (Federal Information Processing Standards)加密供应商。

先决条件

  • 为 FIPS 模式配置您的系统。您可以通过在 Data Grid 命令行界面(CLI)中发出 fips-mode-setup --check 命令来检查您的系统是否启用了 FIPS 模式。
  • 以 BCFKS 格式创建包含证书的密钥存储。

流程

  1. 下载 Bouncy Castle FIPS JAR 文件,并将文件添加到数据网格服务器安装的 server/lib 目录中。
  2. 要安装 Bouncy Castle,请发出 安装 命令:

    [disconnected]> install org.bouncycastle:bc-fips:1.0.2.3
  3. 打开 Data Grid Server 配置进行编辑。
  4. 在 Data Grid 服务器 安全域中添加服务器事件定义。
  5. 使用 BCFIPS 提供商指定 BCFKS 密钥存储。
  6. 保存对您的配置的更改。
密钥存储配置

XML

<server xmlns="urn:infinispan:server:14.0">
   <security>
      <security-realms>
         <security-realm name="default">
            <server-identities>
               <ssl>
                  <!-- Adds a keystore that reads certificates from the BCFKS keystore. -->
                  <keystore path="server.bcfks" password="secret" alias="server" provider="BCFIPS" type="BCFKS"/>
               </ssl>
            </server-identities>
         </security-realm>
      </security-realms>
   </security>
</server>

JSON

{
  "server": {
    "security": {
      "security-realms": [{
        "name": "default",
        "server-identities": {
          "ssl": {
            "keystore": {
              "path": "server.bcfks",
              "password": "secret",
              "alias": "server",
              "provider": "BCFIPS",
              "type": "BCFKS"
            }
          }
        }
      }]
    }
  }
}

YAML

server:
  security:
    securityRealms:
      - name: "default"
        serverIdentities:
          ssl:
            keystore:
              path: "server.bcfks"
              password: "secret"
              alias: "server"
              provider: "BCFIPS"
              type: "BCFKS"

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.