FIPS-Modus
Der Microsoft-JDBC-Treiber für SQL Server unterstützt die Ausführung in JVMs, die als FIPS 140-konform konfiguriert sind.
Voraussetzungen
- Für FIPS konfigurierte JVM
- Geeignetes TSL/SSL-Zertifikat
- Geeignete Richtliniendateien
- Geeignete Konfigurationsparameter
Für FIPS konfigurierte JVM
Im Allgemeinen können Anwendungen die Datei java.security für die Verwendung von FIPS-konformen Kryptografieanbietern konfigurieren. Informationen zum Konfigurieren für FIPS 140-Konformität finden Sie in der Dokumentation zu Ihrer JVM.
Die genehmigten Module für die FIPS-Konfiguration finden Sie unter Validated Modules in the Cryptographic Module Validation Program (Validierte Module im Programm zur Validierung von Kryptografiemodulen).
Anbieter haben möglicherweise weitere Schritte zum Konfigurieren einer JVM mit FIPS eingerichtet.
Geeignetes TLS-Zertifikat
Zum Herstellen einer Verbindung mit SQL Server im FIPS-Modus ist ein gültiges TLS/SSL-Zertifikat erforderlich. Installieren oder importieren Sie das Zertifikat in den Java-Keystore auf dem Clientcomputer (JVM), auf dem FIPS aktiviert ist.
Importieren des TLS-Zertifikats in den Java-Keystore
Für FIPS müssen Sie das Zertifikat (CERT-Datei) wahrscheinlich als PKCS oder in einem anbieterspezifischen Format importieren. Verwenden Sie den folgenden Codeausschnitt, um das TLS/SSL-Zertifikat zu importieren und im geeigneten Keystoreformat in einem Arbeitsverzeichnis zu speichern. TRUST_STORE_PASSWORD ist Ihr Kennwort für den Java-Keystore.
public void saveGenericKeyStore(
String provider,
String trustStoreType,
String certName,
String certPath
) throws KeyStoreException, CertificateException,
NoSuchAlgorithmException, NoSuchProviderException,
IOException
{
KeyStore ks = KeyStore.getInstance(trustStoreType, provider);
FileOutputStream os = new FileOutputStream("./MyTrustStore_" + trustStoreType);
ks.load(null, null);
ks.setCertificateEntry(certName, getCertificate(certPath));
ks.store(os, TRUST_STORE_PASSWORD.toCharArray());
os.flush();
os.close();
}
private Certificate getCertificate(String pathName)
throws FileNotFoundException, CertificateException
{
FileInputStream fis = new FileInputStream(pathName);
CertificateFactory cf = CertificateFactory.getInstance("X.509");
return cf.generateCertificate(fis);
}
Das folgende Beispiel importiert ein Azure-TLS/SSL-Zertifikat im PKCS12-Format mit dem Anbieter „BouncyCastle“. Das Zertifikat wird mithilfe des folgenden Codeausschnitts in das Arbeitsverzeichnis MyTrustStore_PKCS12 importiert:
saveGenericKeyStore(BCFIPS, PKCS12, "SQLAzure SSL Certificate Name", "SQLAzure.cer");
Geeignete Richtliniendateien
Für einige FIPS-Anbieter sind uneingeschränkte Richtlinien-JAR-Dateien erforderlich. Laden Sie in solchen Fällen für Sun und Oracle die Richtliniendateien „Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction“ für JRE 8 oder JRE 7 herunter.
Geeignete Konfigurationsparameter
Konfigurieren Sie Verbindungseigenschaften wie in der folgenden Tabelle gezeigt, um den JDBC-Treiber im FIPS-konformen Modus auszuführen.
Eigenschaften
| Eigenschaft | type | Standard | BESCHREIBUNG | Notizen |
|---|---|---|---|---|
encrypt |
Zeichenfolge [„true/false/strict“] | "true" | In einer JVM-Umgebung mit aktiviertem FIPS sollte die encrypt-Eigenschaft true lauten. | Der Standardwert wurde in Version 10.2 von FALSE in TRUE geändert. In Version 11.2.0 wurde der Typ von Boolean in String geändert, und die Option „strict“ wurde hinzugefügt, um die Unterstützung von TDS 8.0 zu ermöglichen. |
TrustServerCertificate |
Boolesche Werte ["TRUE / FALSE"] | „FALSE“ | Für FIPS muss der Benutzer die Zertifikatkette validieren, daher sollte der Wert false für diese Eigenschaft verwendet werden. | |
trustStore |
String | NULL | Der Dateipfad Ihres Java-Keystores, in den Sie das Zertifikat importiert haben. Wenn Sie das Zertifikat auf Ihrem System installieren, muss hier nichts übergeben werden. Der Treiber verwendet cacerts- oder jssecacerts-Dateien. | |
trustStorePassword |
String | NULL | Das Kennwort, das zum Überprüfen der Integrität der trustStore-Daten verwendet wird. | |
fips |
Boolesche Werte ["TRUE / FALSE"] | „FALSE“ | In einer JVM-Umgebung mit aktiviertem FIPS sollte diese Eigenschaft true lauten. | Hinzugefügt in 6.1.4 (stabiles Release: 6.2.2) |
fipsProvider |
String | NULL | In JVM konfigurierter FIPS-Anbieter. Beispiele: BCFIPS oder SunPKCS11-NSS. | Hinzugefügt in 6.1.2 (stabiles Release: 6.2.2), veraltet in 6.4.0 – ausführliche Informationen finden Sie hier. |
trustStoreType |
String | JKS | Legen Sie für den FIPS-Modus den Vertrauensspeichertyp auf PKCS12 oder auf einen vom FIPS-Anbieter definierten Typ fest. | Hinzugefügt in 6.1.2 (stabiles Release: 6.2.2) |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für