FIPS를 사용하도록 CA SiteMinder® SPS 구성
목차
sm1252sp1kkr
목차
CA Access Gateway
는 FIPS 140-2 표준에 지정된 암호화 모듈에 대한 요구 사항을 지원합니다. 설치하는 동안 사용 중인 구성에 필요한 FIPS 지원 수준을 선택하라는 메시지가 표시됩니다. 기존 설치를 업그레이드하는 경우 CA Access Gateway
는 이전처럼 계속 작동합니다. 다음과 같은 고려 사항을 검토하십시오.- 업그레이드 후CA Access Gateway의 FIPS 모드를 FIPS 호환성에서 FIPS 전용으로 변경할 수 있습니다.
- smreghost 명령을 사용하여 모드를 수동으로 변경할 수 있습니다.
- JsafeJCE 보안 공급자의 초기 FIPS 모드를 설정하려면 JVM_HOME\jre\lib\security\java.security(Windows) 또는 JVM_HOME/jre/lib/security/java.security(UNIX)에 다음 행을 추가하십시오.com.rsa.cryptoj.fips140initialmode=NON_FIPS140_MODE
- 모드를 변경한 후에는 웹 에이전트,CA Access Gateway서버 및 Apache 서버가 변경 내용을 적용하도록 시스템을 다시 시작해야 합니다.
새로 설치할 때는 다음 세 개의 FIPS 모드 중 하나를 선택할 수 있습니다.
- 호환성 - 설치가 FIPS 규격이 아님을 나타냅니다. 이전 버전의CA Access Gateway를 실행하는 클라이언트와 상호 작용하려면 이 모드를 선택합니다.
- 마이그레이션 - 데이터가 마이그레이션되는 동안CA Access Gateway가 FIPS 규격 알고리즘과 이전 버전의CA Access Gateway에 사용되는 알고리즘을 모두 동시에 사용하여 작동하도록 지정합니다.
- 전용 -CA Access Gateway에서 FIPS 규격 알고리즘만 사용되고 허용되도록 지정합니다. 이 모드로 설치하는 경우 수동 구성이 추가로 필요합니다.
정책 서버에 구성된 FIPS 모드를 선택합니다. 정책 서버가 MIGRATE 모드로 설정되어 있으면 모든 모드에서
CA Access Gateway
와 함께 작동할 수 있습니다. 정책 서버가 FIPS 전용 모드로 설정되어 있으면 에이전트가 FIPS 호환성 모드에서 작동할 수 없습니다.FIPS 마이그레이션 모드로 마이그레이션
이전 버전에서 업그레이드하고 FIPS 규격 알고리즘을 사용하려면
CA Access Gateway
를 FIPS 마이그레이션 모드에서 작동하도록 구성하면 됩니다.다음 단계를 수행하십시오.
- CA Access Gateway서비스를 중지합니다.
- 명령줄 창을 엽니다.
- 다음 명령을 입력하십시오.smreghost -i policy_server_ip_address -u administrator_user_name -p administrator_password -hn hostname_for_registration -hc host_config_object -f path_to_host_config_file -o -cf MIGRATE예:smreghost -i localhost -u siteminder - p firewall -hn helloworld -hc host -f "C:\Program Files\CA\secure-proxy\proxy-engine\conf\defaultagent\SmHost.conf" -o - cf MIGRATE
- 컴퓨터를 다시 시작합니다(Windows에만 해당).
- CA Access Gateway서비스를 다시 시작합니다.
CA Access Gateway
내의 웹 에이전트가 FIPS 호환성 모드에서 FIPS 마이그레이션 모드로 변경되었습니다.FIPS 전용 모드로 마이그레이션
CA Single Sign-on
정책 서버가 FIPS 전용 또는 FIPS 마이그레이션 모드인 경우 업그레이드 후 CA Access Gateway
의 FIPS 모드를 FIPS 호환성에서 FIPS 전용으로 변경할 수 있습니다.다음 단계를 수행하십시오.
- CA Access Gateway서비스를 중지합니다.
- OPENSSL_FIPS 환경 변수의 값을 1로 설정합니다.
- 다음 단계 중 하나를 수행합니다.
- Windows에서 FIPS 모드를 변경하려면 CA_SM_PS_FIPS140 환경 변수를 ONLY로 설정합니다.
- UNIX에서 FIPS 모드를 변경하려면 다음 단계를 수행합니다.
- proxyserver.sh 파일을 엽니다.기본 경로: sps-home/proxy-engine/proxyserver.sh
- CA_SM_PS_FIPS140 환경 변수의 값을 ONLY로 설정합니다.
- 명령 프롬프트에서 다음 명령을 실행합니다.smreghost -i policy_server_ip_address -u administrator_user_name -p administrator_password -hn hostname_for_registration -hc host_config_object -f path_to_host_config_file -o -cf ONLY예:smreghost -i localhost -u siteminder - p firewall -hn helloworld -hc host -f "C:\Program Files\CA\secure-proxy\proxy-engine\conf\defaultagent\SmHost.conf" -o - cf ONLY
- CA Access Gateway가 전체 SSL 모드에서 실행 중인지 확인합니다.CA Access Gateway내의 Apache에 SSL이 이미 사용되도록 설정되어 있는 경우 SSL을 사용하지 않도록 설정하고 FIPS 전용 모드용으로 다시 구성해야 합니다.
- SSL을 FIPS 전용 모드로 구성합니다.
- SSL 모드에서CA Access Gateway를 구성하는 데 사용된 서버 키가 FIPS 규격 암호화 알고리즘을 사용하여 생성되었는지 확인합니다.
- httpd-ssl.conf 파일을 엽니다.기본 경로: sps_home\httpd\conf\extra\httpd-ssl.conf
- SSLPassPhraseDialog 변수의 값을 custom으로 설정합니다.
- 다음 행의 주석 처리를 제거합니다.SSLCustomPropertiesFile "<sps_home>/Tomcat/properties/spsssl.properties"
- SSLCustomPropertiesFile 변수의 값을 <sps_home>\httpd\conf\spsapachessl.properties로 설정합니다.
- SSLSpsFipsMode 변수의 값을 ONLY로 설정합니다.
- 컴퓨터를 다시 시작합니다.
- CA Access Gateway서비스를 시작합니다.
FIPS 전용 모드에 대한 구성 프로세스
FIPS 전용 모드에서
CA Access Gateway
를 설치한 후에는 다음과 같은 추가 구성 단계를 수행해야 합니다.- CA Access Gateway가 전체 SSL 모드에서 실행 중인지 확인합니다.
- SSL 모드에서CA Access Gateway를 구성하는 데 사용된 서버 키가 FIPS 규격 암호화 알고리즘을 사용하여 생성되었는지 확인합니다.
- FIPS 전용 모드에서 SSL을 구성하는 절차를 따릅니다.