FIPS를 사용하도록 CA SiteMinder® SPS 구성

목차
sm1252sp1kkr
목차
CA Access Gateway
는 FIPS 140-2 표준에 지정된 암호화 모듈에 대한 요구 사항을 지원합니다. 설치하는 동안 사용 중인 구성에 필요한 FIPS 지원 수준을 선택하라는 메시지가 표시됩니다. 기존 설치를 업그레이드하는 경우
CA Access Gateway
는 이전처럼 계속 작동합니다. 다음과 같은 고려 사항을 검토하십시오.
  • 업그레이드 후
    CA Access Gateway
    의 FIPS 모드를 FIPS 호환성에서 FIPS 전용으로 변경할 수 있습니다. 
  • smreghost 명령을 사용하여 모드를 수동으로 변경할 수 있습니다.
  • JsafeJCE 보안 공급자의 초기 FIPS 모드를 설정하려면 JVM_HOME\jre\lib\security\java.security(Windows) 또는 JVM_HOME/jre/lib/security/java.security(UNIX)에 다음 행을 추가하십시오.
    com.rsa.cryptoj.fips140initialmode=NON_FIPS140_MODE
  • 모드를 변경한 후에는 웹 에이전트,
    CA Access Gateway
    서버 및 Apache 서버가 변경 내용을 적용하도록 시스템을 다시 시작해야 합니다.
새로 설치할 때는 다음 세 개의 FIPS 모드 중 하나를 선택할 수 있습니다.
  • 호환성 - 설치가 FIPS 규격이 아님을 나타냅니다. 이전 버전의
    CA Access Gateway
    를 실행하는 클라이언트와 상호 작용하려면 이 모드를 선택합니다.
  • 마이그레이션 - 데이터가 마이그레이션되는 동안
    CA Access Gateway
    가 FIPS 규격 알고리즘과 이전 버전의
    CA Access Gateway
    에 사용되는 알고리즘을 모두 동시에 사용하여 작동하도록 지정합니다.
  • 전용 -
    CA Access Gateway
    에서 FIPS 규격 알고리즘만 사용되고 허용되도록 지정합니다. 이 모드로 설치하는 경우 수동 구성이 추가로 필요합니다.
정책 서버에 구성된 FIPS 모드를 선택합니다. 정책 서버가 MIGRATE 모드로 설정되어 있으면 모든 모드에서
CA Access Gateway
와 함께 작동할 수 있습니다. 정책 서버가 FIPS 전용 모드로 설정되어 있으면 에이전트가 FIPS 호환성 모드에서 작동할 수 없습니다.
FIPS 마이그레이션 모드로 마이그레이션
이전 버전에서 업그레이드하고 FIPS 규격 알고리즘을 사용하려면
CA Access Gateway
를 FIPS 마이그레이션 모드에서 작동하도록 구성하면 됩니다.
다음 단계를 수행하십시오.
  1. CA Access Gateway
    서비스를 중지합니다.
  2. 명령줄 창을 엽니다.
  3. 다음 명령을 입력하십시오.
    smreghost -i policy_server_ip_address -u administrator_user_name -p administrator_password -hn hostname_for_registration -hc host_config_object -f path_to_host_config_file -o -cf MIGRATE
    예:
    smreghost -i localhost -u siteminder  - p firewall -hn helloworld -hc host  -f "C:\Program Files\CA\secure-proxy\proxy-engine\conf\defaultagent\SmHost.conf" -o  - cf  MIGRATE
  4. 컴퓨터를 다시 시작합니다(Windows에만 해당).
  5. CA Access Gateway
    서비스를 다시 시작합니다.
CA Access Gateway
내의 웹 에이전트가 FIPS 호환성 모드에서 FIPS 마이그레이션 모드로 변경되었습니다.
FIPS 전용 모드로 마이그레이션
CA Single Sign-on
정책 서버가 FIPS 전용 또는 FIPS 마이그레이션 모드인 경우 업그레이드 후
CA Access Gateway
의 FIPS 모드를 FIPS 호환성에서 FIPS 전용으로 변경할 수 있습니다.
다음 단계를 수행하십시오.
  1. CA Access Gateway
    서비스를 중지합니다.
  2. OPENSSL_FIPS 환경 변수의 값을 1로 설정합니다.
  3. 다음 단계 중 하나를 수행합니다.
    1. Windows에서 FIPS 모드를 변경하려면 CA_SM_PS_FIPS140 환경 변수를 ONLY로 설정합니다.
    2. UNIX에서 FIPS 모드를 변경하려면 다음 단계를 수행합니다.
      1. proxyserver.sh 파일을 엽니다.
        기본 경로
        : sps-home/proxy-engine/proxyserver.sh
      2. CA_SM_PS_FIPS140 환경 변수의 값을 ONLY로 설정합니다.
  4. 명령 프롬프트에서 다음 명령을 실행합니다.
    smreghost -i policy_server_ip_address -u administrator_user_name -p administrator_password -hn hostname_for_registration -hc host_config_object -f path_to_host_config_file -o -cf ONLY
    예:
    smreghost -i localhost -u siteminder  - p firewall -hn helloworld -hc host  -f "C:\Program Files\CA\secure-proxy\proxy-engine\conf\defaultagent\SmHost.conf" -o  - cf  ONLY
  5. CA Access Gateway
    가 전체 SSL 모드에서 실행 중인지 확인합니다.
    CA Access Gateway
    내의 Apache에 SSL이 이미 사용되도록 설정되어 있는 경우 SSL을 사용하지 않도록 설정하고 FIPS 전용 모드용으로 다시 구성해야 합니다.
  6. SSL을 FIPS 전용 모드로 구성합니다.
  7. SSL 모드에서
    CA Access Gateway
    를 구성하는 데 사용된 서버 키가 FIPS 규격 암호화 알고리즘을 사용하여 생성되었는지 확인합니다.
  8. httpd-ssl.conf 파일을 엽니다.
    기본 경로
    : sps_home\httpd\conf\extra\httpd-ssl.conf
  9. SSLPassPhraseDialog 변수의 값을 custom으로 설정합니다.
  10. 다음 행의 주석 처리를 제거합니다.
    SSLCustomPropertiesFile "<sps_home>/Tomcat/properties/spsssl.properties"
  11. SSLCustomPropertiesFile 변수의 값을 <sps_home>\httpd\conf\spsapachessl.properties로 설정합니다.
  12. SSLSpsFipsMode 변수의 값을 ONLY로 설정합니다.
  13. 컴퓨터를 다시 시작합니다.
  14. CA Access Gateway
    서비스를 시작합니다.
FIPS 전용 모드에 대한 구성 프로세스
FIPS 전용 모드에서
CA Access Gateway
를 설치한 후에는 다음과 같은 추가 구성 단계를 수행해야 합니다.
  • CA Access Gateway
    가 전체 SSL 모드에서 실행 중인지 확인합니다.
  • SSL 모드에서
    CA Access Gateway
    를 구성하는 데 사용된 서버 키가 FIPS 규격 암호화 알고리즘을 사용하여 생성되었는지 확인합니다.
  • FIPS 전용 모드에서 SSL을 구성하는 절차를 따릅니다.