この章の内容は次のとおりです。
Federal Information Processing Standards (FIPS) 140-2は、アメリカ合衆国政府の機密でも未分類の使用に関する要件を記載した規格です。
WebLogic Serverでは、RSA FIPS互換(FIPS 140-2)機密モジュールを使用できます。(サポートされるバージョンは、「サポートされるFIPS標準と暗号スイート」を参照してください。)
この機密モジュールをRSA JSSEプロバイダおよびRSA JCEプロバイダと組み合せて使用すると、FIPS準拠(FIPS 140-2)実装が提供されます。
注意:
RSA JSSEプロバイダとRSA JCEプロバイダはこの項で説明するようにFIPSモードで使用するだけでなく、非FIPSモードでも使用できます。たとえば、RSA JSSEプロバイダに固有の特定の暗号化アルゴリズムを使用することもできます。
詳細は、次を参照してください。
Oracle Fusion MiddlewareでのFIPSのサポートの詳細は、『Oracle Fusion Middleware Oracle Fusion Middlewareの管理』のOracle Fusion MiddlewareでのFIPS-140のサポートに関する項を参照してください。
インストールされているJDKのjava.security
ファイルを使用してFIPS 140-2モードを有効化するには、次の手順を実行します。
通常のWebLogic起動時には、パフォーマンスの理由からRSA Crypto-J JCE自己整合性テストは無効になっています。
FIPS 140-2モードのWLSを構成するときにJCE検証を有効にするには、WebLogic Serverを起動するときに-Dweblogic.security.allowCryptoJDefaultJCEVerification=true
JAVA_OPTIONS
環境変数を設定します。
この環境変数を設定すると、処理が追加されて、起動に時間がかかるようになることに注意してください。
FIPS 140-2モードの場合、すべての証明書の鍵サイズは2048ビットでなければなりません。
FIPS 140-2モードでWebサービスを使用するときは、次の注意事項を念頭に置いてください。
SHA-1セキュア・ハッシュ・アルゴリズムはFIPS 140-2モードではサポートされません。したがって、次のWS-SP <sp:AlgorithmSuite>
値はFIPS 140-2モードではサポートされません。
Basic256
Basic192
Basic128
TripleDes
Basic256Rsa15
Basic192Rsa15
Basic128Rsa15
TripleDesRsa15
『Oracle WebLogic Server WebLogic Webサービスの保護』のSHA-256セキュア・ハッシュ・アルゴリズムの使用に関する項で説明しているように、WebLogic Server Webサービス・セキュリティ・ポリシーでは、デジタル署名のハッシュのためにSHA-1およびより強固なSHA-2 (SHA-256)セキュア・ハッシュ・アルゴリズムの両方がサポートされています。特にSHA-256ポリシーの使用では、SHA-1セキュア・ハッシュ・アルゴリズムとSHA-2セキュア・ハッシュ・アルゴリズムを使用するポリシーを説明しています。
FIPS 140-2モードでは、デジタル署名の使用時には拡張アルゴリズム・スイートが必要です。詳細は、Oracle WebLogic Server WebLogic Webサービスの保護の拡張アルゴリズム・スイート(EAS)の使用を参照してください。
FIPS 140-2モードを有効化する場合、セキュリティ・ポリシーの<sp:AlgorithmSuite
要素を、次に示すサポートされている<sp:AlgorithmSuite
値のいずれかに変更します。これらの値の詳細は、SHA-256セキュア・ハッシュ・アルゴリズムの使用を参照してください。
Basic256Sha256
Basic192Sha256
Basic128Sha256
Basic256Exn256
Basic192Exn256
Basic128Exn256
TripleDesSha256
TripleDesExn256
Basic256Sha256Rsa15
Basic192Sha256Rsa15
Basic128Sha256Rsa15
Basic256Exn256Rsa15
Basic192Exn256Rsa15
Basic128Exn256Rsa15
TripleDesSha256Rsa15
TripleDesExn256Rsa15
たとえば、既存のBasic256アルゴリズム・スイートを編集してEASアルゴリズム・スイートにするには、次のポリシーを変更します。
<sp:AlgorithmSuite> <wsp:Policy> <sp:Basic256/> </wsp:Policy> </sp:AlgorithmSuite>
これを次のように変更します。
<sp:AlgorithmSuite> <wsp:Policy> <orasp:Basic256Exn256 xmlns:orasp="http://schemas.oracle.com/ws/2006/01/securitypolicy"/> </wsp:Policy> </sp:AlgorithmSuite>
このリリースのWebLogic Serverでは、X509PKIPathv1トークンはFIPS 140-2モードでサポートされません。カスタム・ポリシーでX509PKIPathv1トークンを使用する場合、かわりにPKCS7トークンを使用するようにポリシーを変更します。
特に、次の2つのポリシー・アサーションは、このリリースのWebLogic ServerのFIPS 140-2モードでサポートされていません。
<sp:WssX509PkiPathV1Token10/>
<sp:WssX509PkiPathV1Token11/>
これら2つのポリシー・アサーションを使用する場合、かわりに次の2つのアサーションに変更してください。
<sp:WssX509Pkcs7Token10/>
<sp:WssX509Pkcs7Token11/>
たとえば、カスタム・ポリシーのポリシーに次のアサーションがあるとします。
<wsp:Policy> <sp:X509Token sp:IncludeToken=". . ."> <wsp:Policy> <sp:WssX509PkiPathV1Token10/> </wsp:Policy> </sp:X509Token> </wsp:Policy>
これは次のポリシー・アサーションで置き換えてください。
<wsp:Policy> <sp:X509Token sp:IncludeToken=". . ."> <wsp:Policy> <sp:WssX509Pkcs7Token10/> </wsp:Policy> </sp:X509Token> </wsp:Policy>
または、カスタム・ポリシーのポリシーに次のアサーションがあるとします。
<wsp:Policy> <sp:X509Token sp:IncludeToken=". . ."> <wsp:Policy> <sp:RequireThumbprintReference/> <sp:WssX509PkiPathV1Token11/> </wsp:Policy> </sp:X509Token> </wsp:Policy>
これは次のアサーションで置き換えてください。
<wsp:Policy> <sp:X509Token sp:IncludeToken=". . ."> <wsp:Policy> <sp:RequireThumbprintReference/> <sp:WssX509Pkcs7Token11/> </wsp:Policy> </sp:X509Token> </wsp:Policy>