可以配置 Rational® DOORS® 数据库服务器和客户机以通过符合美国国家标准技术学会特殊出版物 (NIST SP) 800-131A 标准的安全套接字进行通信。
关于此任务
NIST SP 800-131A 标准指定了用于增强安全性的算法以及该算法所需要的最小加密强度。您可以将合规性配置为严格或过渡:
- 在严格方式下,所有通信都必须遵循 SP 800-131A。例如,如果 Rational DOORS 客户机不适应严格方式但 Rational DOORS 服务器使用严格方式,那么服务器无法使用证书登录来认证用户。严格方式需要 TLS 1.2 协议和 SHA2 证书。要加强严格方式,您可以需要针对 SHA2 证书检查完整证书链(而不仅仅是结束证书)。
- 过渡方式将除去一些 SP 800-131A 需求并允许组件和应用程序使用 SHA1 证书以及 TLS 1、TLS 1.1 或 TLS 1.2 协议进行通信。
此配置是可选的。它可能会影响性能,并且可能需要新的证书。
表 1. 命令行开关和注册表设置开关和注册表设置 |
描述 |
-sp800-131 |
单独使用该开关时,它将强制实施严格合规性。要加强或减弱该开关,将其与其他某个开关一起使用,其他开关都是可选的。 |
-strictSha2 |
该选项增强严格方式,它要求针对 SHA2 证书检查完整证书链(而不仅仅是结束证书)。例如,如果仅使用 SP 800-131A,那么使用具有 SHA1 根的 SHA2 证书的 Rational DOORS 服务器可在安全方式下启动。但如果同时指定了 SP 800-131A 和 strictSha2,那么服务器无法以安全方式启动。
如果使用了 -allowSha1,那么将忽略该选项。 |
-allowSha1 |
除了 SHA2 之外,该过渡方式选项还允许通过使用 SHA1 证书建立的连接。 |
-allowSha1 |
除了 TLS
1.2 之外,该过渡方式选项还允许与 TLS 1.0 和 TLS 1.1 协议之间的连接。 |
过程
要配置 Rational DOORS 客户机和数据库服务器以符合 NIST SP 800-131A:
- 打开命令行并启动数据库服务器,然后使用 doorsd 命令从表输入选项。例如:
doorsd -sp800-131 -allowTls10And11 -allowSha1
- 从命令行,启动客户机并使用 doors 命令从表输入选项。例如:
doors -sp800-131 -allowTls10And11 -allowSha1