Procédure 11.45. Voir Conformité Cryptographie FIPS 140-2 pour SSL

1. Créez la base de données

   Créez la base de données NSS dans un répertoire qui appartienne à l'utilisateur jboss.

   $ mkdir -p  /usr/share/jboss-as/nssdb
   $ chown jboss /usr/share/jboss-as/nssdb 
   $ modutil -create -dbdir /usr/share/jboss-as/nssdb

2. Créez un fichier de configuration NSS

   Créez un nouveau fichier texte ayant comme nom nss_pkcsll_fips.cfg dans le répertoire /usr/share/jboss-as avec le contenu suivant :

   name = nss-fips
   nssLibraryDirectory=/usr/lib64
   nssSecmodDirectory=/usr/share/jboss-as/nssdb
   nssModule = fips

   Le fichier de configuration NSS doit spécifier :
   • un nom,
   • le répertoire où se trouve la bibliothèque, et
   • le répertoire où la base de données NSS a été créée selon l'étape 1.
   Si vous n'êtes pas sur une version 64bit de Red Hat Enterprise Linux 6, alors définissez nssLibraryDirectory à /usr/lib à la place de /usr/lib64.

3. Activez le fournisseur SunPKCS11

   Modifiez le fichier de configuration java.security de votre JRE ($JAVA_HOME/jre/lib/security/java.security) et ajoutez la ligne suivante :

   security.provider.1=sun.security.pkcs11.SunPKCS11  /usr/share/jboss-as/nss_pkcsll_fips.cfg

   Notez que le fichier de configuration spécifié sur cette ligne est le fichier créé à l'étape 2.
   Toute autre ligne security.provider.X de ce fichier devra posséder la valeur X +1 pour que la priorité soit donnée à ce fournisseur.

4. Activez le mode FIPS pour la bibliothèque NSS

   Exécutez la commande modutil comme indiqué pour activer le mode FIPS :

   modutil -fips true -dbdir /usr/share/jboss-as/nssdb

   Notez que le répertoire indiqué ici est le répertoire créé à l'étape 1.
   Vous aurez sans doute une erreur de bibliothèque à ce niveau, ce qui vous oblige à régénérer les signatures de bibliothèques sur certains des objets NSS partagés.

5. Modifiez le mot de passe du token FIPS

   Définissez le mot de passe du token FIPS par la commande suivante. Notez que le nom du token doit correspondre à NSS FIPS 140-2 Certificate DB.

   modutil -changepw "NSS FIPS 140-2 Certificate DB" -dbdir /usr/share/jboss-as/nssdb

   Le mot de passe utilisé pour le token FIPS doit être un mot de passe conforme FIPS.

6. Créez le certificat grâce aux outils NSS

   Saisissez la commande suivante pour créer un certificat par les outils NSS.

   certutil -S -k rsa -n jbossweb  -t "u,u,u" -x -s "CN=localhost, OU=MYOU, O=MYORG, L=MYCITY, ST=MYSTATE, C=MY" -d /usr/share/jboss-as/nssdb

7. Configurez le connecteur HTTPS pour utiliser le keystore PKCS11

   Ajoutez un connecteur HTTPS par la commande suivante dans JBoss CLI :

   /subsystem=web/connector=https/:add(socket-binding=https,scheme=https,protocol=HTTP/1.1,secure=true)

   Puis, ajoutez la configuration SSL par la commande suivante, en remplaçant PASSWORD par le mot de passe conforme FIPS de l'étape 5.

   /subsystem=web/connector=https/ssl=configuration:add(name=https,password=PASSWORD,keystore-type=PKCS11,
   cipher-suite="SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,
   TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
   TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,
   TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,
   TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,
   TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA,
   TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,
   TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,
   TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,
   TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
   TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_anon_WITH_AES_128_CBC_SHA,
   TLS_ECDH_anon_WITH_AES_256_CBC_SHA")

8. Vérifier

   Vérifiez que la JVM puisse lire la clé privée du keystore PKCS11 en exécutant la commande suivante :

   keytool -list -storetype pkcs11