Konformität mit NSA Suite B Cryptography in Rational DOORS Web Access konfigurieren

Sie können Rational DOORS Web Access für die Kommunikation über sichere Sockets in Konformität mit der NSA Suite B Cryptography-Richtlinie (NSA - National Security Agency) konfigurieren. Die Suite B-Richtlinie verstärkt die bestehenden FIPS-2- und SP 800-131A-Konformitätsrichtlinien.

Vorbereitende Schritte

Konfigurieren Sie den Rational DOORS Web Access-Broker, der eine Anpassung von Apache ActiveMQ ist. Siehe Installationsvoraussetzungen für Rational DOORS Web Access.

Informationen zu diesem Vorgang

Um Rational DOORS Web Access für die Konformität mit Suite B zu konfigurieren, müssen Sie die Konfigurationswerte des Apache Tomcat-Servers so ändern, dass Anforderungen mit Zertifikaten, die nicht den erforderlichen Mindestverschlüsselungsstärken entsprechen, zurückgewiesen werden.

Sie müssen einen Sicherheitsprovider verwenden, der mit FIPS 140-2 konform ist, und die zugehörigen Systemeigenschaften so konfigurieren, dass die Ausführung im Suite B-Modus erfolgt. Diese Konfiguration stellt sicher, dass Sie das richtige Protokoll und die richtigen Cipher-Suites verwenden. Suite B-Konformität ist nur mit dem TLS 1.2-Protokoll möglich. Sie müssen sicherstellen, dass sowohl die Zertifikate, als auch die Schlüssel und der Zufallszahlengenerator (falls angegeben) mit Suite B konform sind.

Wichtig: Wenn Sie das TLS 1.2-Protokoll angeben, können Sie anhand der Dokumentation des Anbieters ermitteln, ob Ihr Browser diese Version unterstützt.
So konfigurieren Sie Rational DOORS Web Access für die Konformität mit Suite B:
  • Legen Sie die Systemeigenschaft in der Startscriptdatei fest, die den Suite B-Modus angibt.
  • Ändern Sie die Konfiguration des Apache Tomcat-Servers so, dass nur das TLS 1.2-Protokoll und unterstützte Cipher-Suites akzeptiert werden.
  • Stellen Sie sicher, dass die Verschlüsselungsschlüssel über die erforderliche Mindestschlüsselstärke verfügen.
  • Stellen Sie sicher, dass die digitalen Signaturen über die erforderliche Mindeststärke verfügen.
Ein System, das für Suite B mit TLS und einer Mindestsicherheitsebene von 128 Bits konfiguriert ist, muss TLS 1.2 und ECDSA-256 oder ECDSA-384 für die Client- oder Serverauthentifizierung verwenden. Zur Unterstützung des Suite B-Profils wird folgende Systemeigenschaft zur Verfügung gestellt:
com.ibm.jsse2.suiteB=128|192|false
Diese Systemeigenschaft hat folgende Parameter:
  • 128 gibt die 128-Bit-Mindestsicherheitsebene an.
  • 192 gibt die 192-Bit-Mindestsicherheitsebene an.
  • false gibt an, dass das System nicht mit Suite B konform ist. Dies ist der Standardwert.
Wenn Sie die Systemeigenschaft com.ibm.jsse2.suiteB festlegen, stellt IBMJSSE2 die Einhaltung der angegebenen Sicherheitsebene sicher. IBMJSSE2 prüft, ob das Protokoll, die Schlüssel und Zertifikate mit dem angeforderten Profil konform sind.

Vorgehensweise

  1. Öffnen Sie die Apache Tomcat-Startscriptdatei in einem Editor.
    • Unter Windows-Systemen befindet sich die Scriptdatei server.start.bat im Installationsverzeichnis von Rational DOORS Web Access, beispielsweise C:\Programme (x86)\IBM\Rational\DOORS Web Access\1.5.0.1. Fügen Sie in der Nähe des Dateiendes nach dem Eintrag für Dcom.ibm.jsse2.usefipsprovider den Eintrag set JAVA_OPTS für Dcom.ibm.jsse2.suiteB hinzu. Vergewissern Sie sich anschließend, dass die Einträge wie folgt aussehen:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
      Wichtig: Wenn die Eigenschaft Dcom.ibm.jsse2.sp800-131 in der Datei enthalten ist, entfernen Sie diese Eigenschaft.
    • Unter UNIX befindet sich die Scriptdatei server.start.sh im Installationsverzeichnis von Rational DOORS Web Access. Fügen Sie den Eintrag JAVA_OPTS für Dcom.ibm.jsse2.suiteB nach dem Eintrag JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true hinzu. Vergewissern Sie sich anschließend, dass die Einträge wie folgt aussehen:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128
      
      export JAVA_OPTS
      Wichtig: Wenn die Eigenschaft Dcom.ibm.jsse2.sp800-131 in der Datei enthalten ist, entfernen Sie diese Eigenschaft.
  2. Öffnen Sie die Apache Tomcat-Datei server.xml in einem Editor. Diese Datei befindet sich bei der Rational DOORS Web Access-Installation im Verzeichnis server/conf. Beispiel: C:\Programme (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  3. Legen Sie für den Wert sslProtocol TLS 1.2 fest. Beispiel:
    sslProtocol="TLSv1.2"
  4. Legen Sie für die Cipher-Suites Suite B-konforme Verschlüsselungen fest. Beispiel:
    ciphers=”SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256”
    Stellen Sie sicher, dass SSL (Secure Sockets Layer) so konfiguriert ist, dass nur eine für Suite B-Konformität genehmigte Cipher-Suite verwendet wird.

Nächste Schritte

Aktualisieren Sie die Client-Browser für die Unterstützung von TLS 1.2.

Stellen Sie sicher, dass die Client- und Serverzertifikate richtig signiert sind. Prüfen Sie die Schlüssel in Keystores.


Feedback