在 MULE ESB 中启用 FIPS 140-2 合规模式答案

【问题标题】：Enabling FIPS 140-2 compliance mode in MULE ESB在 MULE ESB 中启用 FIPS 140-2 合规模式
【发布时间】：2015-11-24 04:54:04
【问题描述】：

我已按照 MULE 文档中的建议执行了以下步骤：

将 cryptojce.jar、cryptojcommon.jar 和 jcmFIPS.jar 复制到 ${JAVA_HOME}/lib/ext 中
编辑 java.security 文件 (${JAVA_HOME}/lib/security/java.security) 添加 security.provider.1=com.rsa.jsafe.provider.JsafeJCE。
编辑 wrapper.conf 文件 (mule/conf/wrapper.conf) 添加 wrapper.java.additional.7=-Dmule.security.model=fips140-2。
启动骡子。在 mule 控制台上，我收到以下消息：

Mule ESB 和集成平台
版本：3.5.2 构建：....
MuleSoft, Inc.
安全模型：fips140-2

从消息中可以清楚地看出 FIPS140-2 被用作安全模型。即使在提供了 RSA 的 BSAFE 中的 3 个作为认证安全提供商之后。

如何验证是否在 Mule 上启用了 FIPS 140-2 合规模式？

即使我没有按照文档中的说明准备 Java Env，也会显示此消息。

【问题讨论】：

【解决方案1】：

正如文档所说，该消息仅与在 FIPS 安全模式下运行 mule 相关联，因此密码套件仅限于批准的套件。您需要在适当的 Java 环境中运行 Mule 才能完全合规，这是文档开头指定的内容，因此您需要遵循所有步骤。我希望能澄清一些事情。

【讨论】：

感谢您的解释。但是正如您所说，Mule 依赖 JAVA 来完全合规，这意味着如果 Java Env 完全合规，那么无论 Mule 端是否启用了合规标志，Mule 都会自动变得合规。我认为唯一的变化是如果在 Mule 中启用了兼容标志，则启用了过滤的密码套件和协议。当启用 FIPS 兼容标志时，Mule 是否会执行某种内部检查以检查 JAVA Env 是否兼容？当 Mule 在 FIPS 合规模式下运行时，除了使用选择性密码套件和协议之外，还会发生哪些变化？
“无论是否启用兼容标志，Mule 都会自动变得兼容”：不，在这种情况下，Mule 将“几乎兼容”，因为将使用适当的安全提供程序，但可能会选择密码套件这在 140-2 标准中无效。但是，是的，正如您所说，密码和协议是唯一受影响的东西。没有检查来验证 env 是否合规。至于更改，Mule 只处理密码/协议，其余的由所选的安全提供程序完成（所以我不能更具体）。 HTH
谢谢！我认为结论是 JAVA Env + Mule 都需要符合 FIPS 才能使 MULE 处于完全 FIPS 合规模式，因为 Mule 不提供任何内部检查。