Konformität mit NSA Suite B Cryptography in Rational DOORS Web Access konfigurieren

Sie können Rational DOORS Web Access so konfigurieren, dass die Kommunikation über sichere Sockets unter Einhaltung der NSA Suite B Cryptography-Richtlinie erfolgt (NSA = National Security Agency). Die Suite B-Richtlinie verstärkt die bestehenden FIPS-2- und SP800-131a-Konformitätsrichtlinien.

Vorbereitende Schritte

Konfigurieren Sie den Rational DOORS Web Access-Broker, der eine Adaptation von Apache ActiveMQ ist. Weitere Informationen finden Sie in Installationsvoraussetzungen für Rational DOORS Web Access.

Informationen zu diesem Vorgang

Um Rational DOORS Web Access für die Einhaltung von Suite B zu konfigurieren, müssen Sie die Apache Tomcat-Serverkonfigurationswerte so ändern, dass Anforderungen mit Zertifikaten zurückgewiesen werden, die nicht den erforderlichen Mindestverschlüsselungsstärken entsprechen.

Sie müssen einen Sicherheitsprovider verwenden, der mit FIPS 140-2 konform ist, und die zugehörigen Systemeigenschaften so konfigurieren, dass die Ausführung im Suite B-Modus erfolgt. Diese Konfiguration stellt sicher, dass Sie das richtige Protokoll und die richtigen Cipher-Suites verwenden. Suite B-Konformität ist nur mit dem TLS-Protokoll Version 1.2 möglich. Sie müssen sicherstellen, dass sowohl die Zertifikate, als auch die Schlüssel und der Zufallszahlengenerator (falls angegeben) mit Suite B konform sind.

Wichtig: Wenn Sie TLS Version 1.2 angeben, müssen Sie anhand der Dokumentation des Anbieters ermitteln, ob Ihr Browser diese Version unterstützt.
Gehen Sie wie folgt vor, um Rational DOORS Web Access zur Einhaltung von Suite B zu konfigurieren:
  • Legen Sie die Systemeigenschaft in der Startscriptdatei fest, die den Suite B-Modus angibt.
  • Ändern Sie die Apache Tomcat-Serverkonfiguration, sodass nur das TLS-Protokoll Version 1.2 und unterstützte Cipher-Suites akzeptiert werden.
  • Stellen Sie sicher, dass die Verschlüsselungsschlüssel über die erforderliche Mindestschlüsselstärke verfügen.
  • Stellen Sie sicher, dass die digitalen Signaturen über die erforderliche Mindeststärke verfügen.
Ein System, das für Suite B mit TLS und einer Mindestsicherheitsebene von 128 Bit konfiguriert ist, muss TLS Version 1.2 und entweder ECDSA-256 oder ECDSA-384 für die Client- oder Serverauthentifizierung verwenden. Zur Unterstützung des Suite B-Profils wird folgende Systemeigenschaft zur Verfügung gestellt:
com.ibm.jsse2.suiteB=128|192|false
Diese Systemeigenschaft hat folgende Parameter:
  • 128 gibt die 128-Bit-Mindestsicherheitsebene an.
  • 192 gibt die 192-Bit-Mindestsicherheitsebene an.
  • false gibt an, dass das System nicht mit Suite B konform ist. Dies ist der Standardwert.
Wenn Sie die Systemeigenschaft com.ibm.jsse2.suiteB festlegen, stellt IBMJSSE2 die Einhaltung der angegebenen Sicherheitsebene sicher. IBMJSSE2 prüft, ob das Protokoll, die Schlüssel und Zertifikate mit dem angeforderten Profil konform sind.

Vorgehensweise

  1. Öffnen Sie die Apache Tomcat-Startscriptdatei in einem Editor.
    • Auf Windows-Systemen befindet sich die Scriptdatei server.start.bat im Installationsverzeichnis von Rational DOORS Web Access. Beispiel: C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1. Fügen Sie in der Nähe des Dateiendes nach dem Eintrag für Dcom.ibm.jsse2.usefipsprovider den Eintrag set JAVA_OPTS für Dcom.ibm.jsse2.suiteB hinzu. Vergewissern Sie sich anschließend, dass die Einträge wie folgt aussehen:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
      Wichtig: Wenn die Eigenschaft Dcom.ibm.jsse2.sp800-131 in der Datei enthalten ist, entfernen Sie diese Eigenschaft.
    • Unter UNIX befindet sich die Scriptdatei server.start.sh im Installationsverzeichnis von Rational DOORS Web Access. Fügen Sie den Eintrag JAVA_OPTS für Dcom.ibm.jsse2.suiteB nach dem Eintrag JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true hinzu. Diese Einträge sollten wie folgt aussehen:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128
      
      export JAVA_OPTS
      Wichtig: Wenn die Eigenschaft Dcom.ibm.jsse2.sp800-131 in der Datei enthalten ist, entfernen Sie diese Eigenschaft.
  2. Öffnen Sie die Apache Tomcat-Datei server.xml in einem Editor. Diese Datei befindet sich bei der Rational DOORS Web Access-Installation im Verzeichnis server/conf. Beispiel: C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  3. Legen Sie den sslProtocol-Wert auf TLS Version 1.2 fest. Beispiel:
    sslProtocol="TLSv1.2"
  4. Legen Sie für die Cipher-Suites Suite B-konforme Verschlüsselungen fest. Beispiel:
    ciphers=”SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256”
    Stellen Sie sicher, dass SSL so konfiguriert ist, dass nur eine für Suite B genehmigte Cipher-Suite verwendet wird.

Nächste Schritte

Aktualisieren Sie die Client-Browser für die Unterstützung von TLS 1.2.

Stellen Sie sicher, dass die Client- und Serverzertifikate richtig signiert sind. Prüfen Sie die Schlüssel in Keystores.


Feedback