FIPS を使用するための CA SiteMinder® SPS の設定

目次
sm1252sp1jjp
目次
CA Access Gateway
は、FIPS 140-2 規格で指定された暗号モジュールの要件をサポートします。インストール中に、お使いの動作設定で必要とされる FIPS サポート レベルを選択するように求められます。既存のインストールをアップグレードする場合、
CA Access Gateway
は以前と同様に動作を継続します。 以下の考慮事項を確認します。
  • アップグレードした後、
    CA Access Gateway
    の FIPS モードを FIPS COMPAT から FIPS ONLY に変更できます。 
  • smreghost コマンドを使用して、手動でモードを変更することができます。
  • JsafeJCE セキュリティ プロバイダの初期 FIPS モードを設定するには、JVM_HOME\jre\lib\security\java.security (Windows) または JVM_HOME/jre/lib/security/java.security (UNIX) に、以下の行を追加します。
    com.rsa.cryptoj.fips140initialmode=NON_FIPS140_MODE
  • Web エージェント、
    CA Access Gateway
    サーバ、および Apache サーバが変更を反映できるように、モード変更後は必ずシステムを再起動してください。
新規インストール中、以下の 3 種類の FIPS モードのいずれかを選択できます。
  • COMPAT: インストールが FIPS 準拠でないことを指定します。
    CA Access Gateway
    の以前のバージョンを実行するクライアントと通信する場合は、このモードを選択します。
  • MIGRATE: データの移行中に、
    CA Access Gateway
    が FIPS 準拠のアルゴリズムと、
    CA Access Gateway
    の以前のバージョンで使用されていたアルゴリズムの両方で同時に動作するように指定します。
  • ONLY: FIPS 準拠のアルゴリズムのみが
    CA Access Gateway
    によって使用され承認されることを指定します。このモードでインストールした場合、追加の手動設定が必要です。
ポリシー サーバに設定されている FIPS モードを選択します。ポリシー サーバが MIGRATE モードの場合は、任意のモードで
CA Access Gateway
と連係できます。ポリシー サーバ が FIPS ONLY モードの場合、エージェントは FIPS COMPAT モードで動作できません。
FIPS MIGRATE モードへの移行
以前のバージョンからアップグレードしている場合、FIPS 準拠のアルゴリズムを使用するには、
CA Access Gateway
が FIPS MIGRATE モードで動作するよう設定します。
以下の手順に従います。
  1. CA Access Gateway
    サービスを停止します。
  2. コマンド ライン ウィンドウを開きます。
  3. 以下のコマンドを入力します。
    smreghost -i policy_server_ip_address -u administrator_user_name -p administrator_password -hn hostname_for_registration -hc host_config_object -f path_to_host_config_file -o -cf MIGRATE
    例:
    smreghost -i localhost -u siteminder  - p firewall -hn helloworld -hc host  -f "C:\Program Files\CA\secure-proxy\proxy-engine\conf\defaultagent\SmHost.conf" -o  - cf  MIGRATE
  4. マシンを再起動します(Windows のみ)。
  5. CA Access Gateway
    サービスを再起動します。
CA Access Gateway
内部の Web エージェントが、FIPS COMPAT から FIPS MIGRATE モードに変更されます。
FIPS 専用モードへの移行
CA Single Sign-on
ポリシー サーバが FIPS ONLY または FIPS MIGRATE モードの場合、アップグレード後に、
CA Access Gateway
の FIPS モードを FIPS COMPAT から FIPS ONLY に変更できます。
以下の手順に従います。
  1. CA Access Gateway
    サービスを停止します。
  2. OPENSSL_FIPS 環境変数の値を 1 に設定します。
  3. 以下の手順のいずれかを実行します。
    1. Windows で FIPS モードを変更している場合、CA_SM_PS_FIPS140 環境変数を ONLY に設定します。
    2. UNIX で FIPS モードを変更している場合、以下の手順に従います。
      1. proxyserver.sh ファイルを開きます。
        デフォルト パス
        : sps-home/proxy-engine/proxyserver.sh
      2. CA_SM_PS_FIPS140 環境変数の値を ONLY に設定します。
  4. コマンド プロンプトで、以下のコマンドを実行します。
    smreghost -i policy_server_ip_address -u administrator_user_name -p administrator_password -hn hostname_for_registration -hc host_config_object -f path_to_host_config_file -o -cf ONLY
    例:
    smreghost -i localhost -u siteminder  - p firewall -hn helloworld -hc host  -f "C:\Program Files\CA\secure-proxy\proxy-engine\conf\defaultagent\SmHost.conf" -o  - cf  ONLY
  5. CA Access Gateway
    が完全 SSL モードで実行されているかどうかを判断します。SSL が Apache の
    CA Access Gateway
    内ですでに有効になっている場合、SSL を無効にして、FIPS ONLY モードに再設定する必要があります。
  6. FIPS ONLY モードで SSL を設定します。
  7. CA Access Gateway
    を SSL モードで設定するために使用されるサーバ キーが、FIPS 準拠の暗号化アルゴリズムを使用して生成されたかを確認します。
  8. httpd-ssl.conf ファイルを開きます。
    デフォルト パス
    : sps_home\httpd\conf\extra\httpd-ssl.conf
  9. SSLPassPhraseDialog 変数の値をカスタムに設定します。
  10. 以下の行のコメント行を解除します。
    SSLCustomPropertiesFile "<sps_home>/Tomcat/properties/spsssl.properties"
  11. SSLCustomPropertiesFile 変数の値を <sps_home>\httpd\conf\spsapachessl.properties に設定します。
  12. SSLSpsFipsMode 変数の値を ONLY に設定します。
  13. コンピュータを再起動します。
  14. CA Access Gateway
    サービスを開始します。
FIPS ONLY モードの設定プロセス
FIPS ONLY モードで
CA Access Gateway
をインストールした後、以下の追加設定手順が必要です。
  • CA Access Gateway
    が完全 SSL モードで実行されていることを確認します。
  • CA Access Gateway
    を SSL モードで設定するために使用されるサーバ キーが、FIPS 準拠の暗号化アルゴリズムを使用して生成されたかを確認します。
  • FIPS ONLY モードで SSL を設定する手順に従います。