FIPS に準拠するよう dotTEST を設定できます。

このセクションの内容

前提条件

https://www.bouncycastle.org/download/bouncy-castle-java-fips/ から以下の BouncyCastle FIPS ライブラリをダウンロードする必要があります。

• bc-fips-<VERSION>.jar (バージョン 1.0.2.5 でテスト済み)
• bctls-fips-<VERSION>.jar (バージョン 1.0.19 でテスト済み)

dotTEST での FIPS モードの設定

1. bc-fips-<VERSION>.jar および bctls-fips-<VERSION>.jar を <DOTTEST_INSTALL_DIR>/bin/dottest/java/jars ディレクトリにコピーします。

2. keytool を使用して、cacerts ファイルを FIPS 準拠 BCFKS フォーマットに変換します。
   1. コンソールを開いて次のコマンドを実行します。

      cd <DOTTEST_INSTALL_DIR>
      
      move bin\dottest\Jre_x64\lib\security\cacerts bin\dottest\Jre_x64\lib\security\cacerts.pkcs12 
      
      bin\dottest\Jre_x64\bin\keytool.exe -importkeystore -srckeystore bin\dottest\Jre_x64\lib\security\cacerts.pkcs12 -srcstoretype PKCS12 -destkeystore bin\dottest\Jre_x64\lib\security\cacerts -deststoretype BCFKS -providername BCFIPS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath bin\dottest\java\jars\bc-fips-<VERSION>.jar -srcstorepass changeit -deststorepass changeit

   2. <DOTTEST_INSTALL_DIR>\etc ディレクトリにある dottestcli.jvm ファイルを開き、次の行を挿入します。

      -Djavax.net.ssl.trustStorePassword=changeit

3. 変更を保存します。
4. 変更を保存します。

5.  <DOTTEST_INSTALL_DIR>/bin/dottest/Jre_x64/conf/security/ ディレクトリにある java.policy ファイルを開き、デフォルト ドメインに次のパーミッションを挿入します。

   permission java.lang.RuntimePermission "accessClassInPackage.sun.security.internal.spec";
   permission org.bouncycastle.crypto.CryptoServicesPermission "tlsAlgorithmsEnabled";

6. 変更を保存します。

7.  <DOTTEST_INSTALL_DIR>/bin/dottest/Jre_x64/conf/ ディレクトリにある logging.properties ファイルを開き、Bouncy Castle のロガー設定を挿入します。

   org.bouncycastle.jsse.provider.DisabledAlgorithmConstraints.level=SEVERE
   org.bouncycastle.jsse.provider.PropertyUtils.level=SEVERE
   org.bouncycastle.jsse.provider.ProvTlsClient.level=SEVERE

8. 変更を保存します。