Убедитесь, что Tomcat 9 работает в режиме FIPS [закрыто] ⇐ Apache

[Anonymous]

Мне необходимо убедиться, что мой сервер Tomcat 9 для моего приложения Java работает в режиме FIPS, в соответствии с этим STIG:

Tomcat должен использовать шифры, проверенные FIPS, на защищенных соединителях. Коннекторы — это то, как Tomcat получает запросы через сетевой порт, передает их размещенным веб-приложениям через HTTP или AJP, а затем отправляет результаты обратно отправителю запроса... STIG проверяет, включен ли параметр FIPSMode для коннектора, а также проверяет журналы на наличие ошибок FIPS, что указывает на несоответствие FIPS на уровнях ОС или Java.

Я считаю, что сделал это успешно, так как это мой server.xml:

Код: Выделить всё

и мой последний журнал Catalina отображает следующее:

Код: Выделить всё

13-Nov-2025 14:16:36.755 INFO [main] org.apache.catalina.core.AprLifecycleListener.lifecycleEvent Loaded Apache Tomcat Native library [1.3.1] using APR version [1.7.5].
13-Nov-2025 14:16:36.755 INFO [main] org.apache.catalina.core.AprLifecycleListener.lifecycleEvent APR capabilities: IPv6 [true], sendfile [true], accept filters [false], random [true], UDS [true].
13-Nov-2025 14:16:36.770 INFO [main] org.apache.catalina.core.AprLifecycleListener.lifecycleEvent APR/OpenSSL configuration: useAprConnector [false], useOpenSSL [true]
13-Nov-2025 14:16:36.802 INFO [main] org.apache.catalina.core.AprLifecycleListener.initializeSSL Using OpenSSL with the FIPS provider as the default provider
13-Nov-2025 14:16:36.802 INFO [main] org.apache.catalina.core.AprLifecycleListener.initializeSSL OpenSSL successfully initialized [OpenSSL 3.0.9 30 May 2023]
13-Nov-2025 14:16:37.192 INFO [main] org.apache.coyote.AbstractProtocol.init Initializing ProtocolHandler ["http-nio-8080"]
13-Nov-2025 14:16:37.239 INFO [main] org.apache.catalina.startup.Catalina.load Server initialization in [762] milliseconds

Согласно STIG, мой файл server.xml должен содержать 'FIPSMode="on" и мой журнал Catalina не должен содержать ошибку "не удалось установить FIPSMODE" (оба из которых верны):

Если файл server.xml не содержит FIPSMode="on" или если файл catalina.out содержит ошибку "не удалось установить свойство [FIPSMODE] на [on]», это вывод.

Мое единственное сомнение заключается в том, что я не вижу каких-либо явных сообщений о том, что режим FIPS на самом деле «включен». Просматривая Интернет, другие люди видели такое сообщение:
Как включить режим FIPS для Tomcat

Код: Выделить всё

04-Dec-2015 00:45:30.561 INFO [main] **org.apache.catalina.core.AprLifecycleListener.initializeSSL Initializing FIPS mode...
04-Dec-2015 00:45:30.576 INFO [main] org.apache.catalina.core.AprLifecycleListener.initializeSSL Successfully entered FIPS mode**

https://knowledge.broadcom.com/external ... -fips.html

Код: Выделить всё

13-Jul-2021 17:48:28.414 INFO [main] org.apache.catalina.core.AprLifecycleListener.initializeSSL Initializing FIPS mode...
13-Jul-2021 17:48:28.427 INFO [main] org.apache.catalina.core.AprLifecycleListener.initializeSSL Successfully entered FIPS mode

Я знаю, что соответствую требованиям STIG, но хочу иметь возможность сказать: «Режим FIPS включен», а не просто «сообщения об ошибках FIPS не отображаются». Приведенные выше примеры взяты из более ранних версий Tomcat. Я не могу найти в документации Tomcat 9 ничего о том, что я должен (или не должен) видеть успешное сообщение FIPS. Это то, что я должен увидеть в Tomcat 9?


Подробнее здесь: https://stackoverflow.com/questions/798 ... -fips-mode