Sie können Rational DOORS Web Access so konfigurieren, dass die Kommunikation
über sichere Sockets unter Einhaltung der NSA Suite B Cryptography-Richtlinie erfolgt
(NSA = National Security Agency). Die Suite B-Richtlinie verstärkt die bestehenden
FIPS-2- und SP800-131a-Konformitätsrichtlinien.
Informationen zu diesem Vorgang
Um Rational DOORS Web Access für die Einhaltung von
Suite B zu konfigurieren, müssen Sie die Apache Tomcat-Serverkonfigurationswerte so ändern,
dass Anforderungen mit Zertifikaten zurückgewiesen werden, die nicht den erforderlichen
Mindestverschlüsselungsstärken entsprechen.
Sie müssen einen Sicherheitsprovider verwenden,
der mit FIPS 140-2 konform ist, und die zugehörigen Systemeigenschaften so konfigurieren,
dass die Ausführung im Suite B-Modus erfolgt. Diese Konfiguration stellt sicher,
dass Sie das richtige Protokoll und die richtigen Cipher-Suites verwenden.
Suite B-Konformität ist nur mit dem TLS-Protokoll Version 1.2 möglich.
Sie müssen sicherstellen, dass sowohl die Zertifikate, als auch die Schlüssel
und der Zufallszahlengenerator (falls angegeben) mit Suite B konform sind.
Wichtig: Wenn Sie TLS Version 1.2 angeben, müssen Sie anhand der Dokumentation des Anbieters ermitteln,
ob Ihr Browser diese Version unterstützt.
Gehen Sie wie folgt vor, um
Rational DOORS Web Access zur Einhaltung von Suite B zu konfigurieren:
- Legen Sie die Systemeigenschaft in der Startscriptdatei fest, die den
Suite B-Modus angibt.
- Ändern Sie die Apache Tomcat-Serverkonfiguration, sodass nur das TLS-Protokoll Version 1.2
und unterstützte Cipher-Suites akzeptiert werden.
- Stellen Sie sicher, dass die Verschlüsselungsschlüssel über die erforderliche Mindestschlüsselstärke
verfügen.
- Stellen Sie sicher, dass die digitalen Signaturen über die erforderliche Mindeststärke
verfügen.
Ein System, das für Suite B mit TLS und einer Mindestsicherheitsebene
von 128 Bit konfiguriert ist, muss TLS Version 1.2 und entweder ECDSA-256 oder ECDSA-384
für die Client- oder Serverauthentifizierung verwenden.
Zur Unterstützung des Suite B-Profils wird folgende Systemeigenschaft zur Verfügung gestellt:
com.ibm.jsse2.suiteB=128|192|false
Diese Systemeigenschaft hat folgende Parameter:
- 128 gibt die 128-Bit-Mindestsicherheitsebene an.
- 192 gibt die 192-Bit-Mindestsicherheitsebene an.
- false gibt an, dass das System nicht mit
Suite B konform ist. Dies ist der Standardwert.
Wenn Sie die Systemeigenschaft
com.ibm.jsse2.suiteB festlegen,
stellt IBMJSSE2 die Einhaltung der angegebenen Sicherheitsebene sicher.
IBMJSSE2 prüft, ob das Protokoll, die Schlüssel und Zertifikate mit dem angeforderten Profil
konform sind.
Nächste Schritte
Aktualisieren Sie die Client-Browser für die Unterstützung von TLS 1.2.
Stellen Sie sicher, dass
die Client- und Serverzertifikate richtig signiert sind. Prüfen Sie die Schlüssel in Keystores.