可以配置 Rational® DOORS® Web Access 以通过符合美国国家标准技术学会 (NIST) 特殊出版物 (SP) 800-131A 标准的安全套接字进行通信。该标准指定了用于增强安全性的算法以及该算法所需要的最小加密强度。
关于此任务
要将 Rational DOORS Web Access 配置为符合 SP 800-131A,需要修改 Apache Tomcat 服务器配置值,以拒绝不满足所需最小加密强度的证书。必须使用遵循 FIPS 140-2 的安全提供程序,并且必须将其系统属性配置为以 SP 800-131A 方式运行。该配置确保用户在使用正确的协议和密码套件。
对于严格合规性,还将验证密钥强度和签名算法。严格合规性仅允许 TLS 1.2 协议。必须确保证书、密钥和安全随机数字生成器(如果已指定)均符合 SP 800-131A。
要点: 如果您指定 TLS 1.2 协议,请参阅供应商文档来确定浏览器是否支持该版本。
要将 Rational DOORS Web Access 配置为符合 NIST SP 800-131A:
- 设置可指定 800-131A 方式的系统属性。
- 修改 Apache Tomcat 服务器配置以仅接受特定协议和密码套件。
- 确保密钥符合最小密钥强度 112 位。
- 确保数字签名至少为 SHA2。
过程
- 在编辑器中打开 Apache Tomcat 启动脚本文件。
- 在 Windows 系统上,server.start.bat 脚本文件位于 Rational DOORS Web Access 安装目录中;例如 C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1。
在文件底部附近,在 Dcom.ibm.jsse2.usefipsprovider 的条目后面,为 Dcom.ibm.jsse2.sp800-131 添加 set JAVA_OPTS 条目。
然后,确保条目显示如下:
set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true
set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
cd %CATALINA_HOME%\bin
call ".\startup.bat"
- 在 UNIX 上,server.start.sh 脚本文件位于 Rational DOORS Web Access 安装目录中。
在 JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 条目后面,为 Dcom.ibm.jsse2.sp800-131 添加 JAVA_OPTS 条目。
然后,确保条目显示如下(其中,可以将 com.ibm.jsse2.sp800-131 设置为 transition 或 strict):
JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true
JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict
export JAVA_OPTS
对于严格合规性,还将验证密钥强度和签名算法。严格合规性仅允许 TLS 1.2 协议。必须确保证书、密钥和安全随机数字生成器(如果已指定)均符合 SP 800-131A。
“过渡”是指 SP 800-131A 定义的过渡期,从当前日期到 2013 年末。过渡期是一个宽限期,在宽限期内,用户可以升级到新的最低密码需求。
- 保存并关闭该文件。
- 在编辑器中打开 Apache Tomcat 的 server.xml 文件。 该文件位于 Rational DOORS Web Access 安装中的 server/conf 目录中;例如 C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
- 将 sslProtocol 值设置为 TLS 最低版本,TLS 最低版本是基于 com.ibm.jsse2.sp800-131 系统属性值确定的值;例如:
sslProtocol="TLSv1.2"
- 将密码套件设置为符合 SP 800-131A 的密码;例如:
ciphers="SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA256"
确保安全套接字层 (SSL) 配置为仅将批准的密码套件用于 SP 800-131A。有关密码套件的列表,请参阅以下相关信息链接中的“IBM® JSSE2 密码套件”。
下一步做什么
将客户机浏览器更新为支持 TLS 最低版本的某个版本。TLS 最低版本是由 server.xml 文件中的 server.xml sslProtocol 属性中指定的值来确定。
确保客户机和服务器证书(包括根证书和中间证书)至少为 112 位,并且正确进行了签名(如该过程中所定义的)。检查密钥库中的密钥和信任库中的可信证书。
请参阅在数据库服务器和客户机中配置 NIST SP 800-131A 的合规性。