Rational® DOORS® データベース・サーバーおよびクライアントが、米国連邦情報・技術局の Special Publications (NIST SP) 800-131A 標準に準拠して、セキュア・ソケット上で通信するよう構成できます。
このタスクについて
NIST SP 800-131A 標準は、セキュリティー強化のために使用するアルゴリズムと、そのアルゴリズムに必要な最小暗号強度の両方を指定します。厳密に準拠するよう構成することも、暫定的に準拠するよう構成することもできます。
- 厳密モードでは、すべての通信が SP 800-131A に準拠する必要があります。例えば、Rational DOORS クライアントが厳密モードを使用していないにもかかわらず、Rational DOORS サーバーは厳密モードを使用している場合、サーバーは、証明書ログインを使用してユーザーを認証できません。厳密モードでは、TLS 1.2 プロトコルおよび SHA2 証明書が必要です。厳密モードを強化するには、END CERTIFICATE のみでなく証明書チェーン全体で SHA2 証明書の検査をするように要求できます。
- 暫定モードでは、SP 800-131A の要件がいくつか取り除かれ、SHA1 証明書、および TLS 1、TLS 1.1、または TLS 1.2 プロトコルを使用するコンポーネントおよびアプリケーションとの通信が許可されます。
この構成はオプションです。この構成を使用すると、パフォーマンスに影響したり、新しい証明書が必要になったりする場合があります。
表 1. コマンド・ライン・スイッチおよびレジストリー設定スイッチおよびレジストリー設定 |
説明 |
-sp800-131 |
このスイッチを単独で使用すると、厳密な準拠が強制されます。このスイッチにおける厳密性を強めたり弱めたりするには、オプションの他のスイッチの 1 つとともに使用します。 |
-strictSha2 |
このオプションは、END CERTIFICATE のみでなく証明書チェーン全体で SHA2 証明書の検査をするよう要求することによって、厳密モードを強化します。例えば、SHA1 ルートを持つ SHA2 証明書を使用する Rational DOORS サーバーは、SP 800-131A が使用されている場合にのみ、セキュア・モードで始動できます。ただし、SP 800-131A と strictSha2 の両方を指定すると、サーバーをセキュア・モードで始動できません。-allowSha1 が使用されている場合、このオプションは無視されます。 |
-allowSha1 |
この暫定モード・オプションは、SHA2 証明書以外に、SHA1 証明書を使用して確立された接続も許可します。 |
-allowSha1 |
この暫定モード・オプションは、TLS 1.2 以外に、TLS 1.0 プロトコルおよび TLS 1.1 プロトコルを使用して確立された接続も許可します。 |
手順
Rational DOORS クライアントおよびデータベース・サーバーが NIST SP 800-131A に準拠するよう構成するには、以下を実行します。
- コマンド・ラインを開いてから、データベース・サーバーを始動し、doorsd コマンドを使用してテーブルからオプションを入力します。例えば、次のようになります。
doorsd -sp800-131 -allowTls10And11 -allowSha1
- コマンド・ラインから、クライアントを始動し、doors コマンドを使用してテーブルからオプションを入力します。例えば、次のようになります。
doors -sp800-131 -allowTls10And11 -allowSha1