Sie können Rational DOORS Web Access für die Kommunikation über sichere Sockets in Konformität mit der NSA Suite B Cryptography-Richtlinie (NSA - National Security Agency) konfigurieren. Die Suite B-Richtlinie verstärkt die bestehenden FIPS-2- und SP 800-131A-Konformitätsrichtlinien.
Informationen zu diesem Vorgang
Um Rational DOORS Web Access für die Konformität mit Suite B zu konfigurieren, müssen Sie die Konfigurationswerte des Apache Tomcat-Servers so ändern, dass Anforderungen mit Zertifikaten, die nicht den erforderlichen Mindestverschlüsselungsstärken entsprechen, zurückgewiesen werden.
Sie müssen einen Sicherheitsprovider verwenden,
der mit FIPS 140-2 konform ist, und die zugehörigen Systemeigenschaften so konfigurieren,
dass die Ausführung im Suite B-Modus erfolgt. Diese Konfiguration stellt sicher,
dass Sie das richtige Protokoll und die richtigen Cipher-Suites verwenden. Suite B-Konformität ist nur mit dem TLS 1.2-Protokoll möglich. Sie müssen sicherstellen, dass sowohl die Zertifikate, als auch die Schlüssel
und der Zufallszahlengenerator (falls angegeben) mit Suite B konform sind.
Wichtig: Wenn Sie das TLS 1.2-Protokoll angeben, können Sie anhand der Dokumentation des Anbieters ermitteln, ob Ihr Browser diese Version unterstützt.
So konfigurieren Sie Rational DOORS Web Access für die Konformität mit Suite B:
- Legen Sie die Systemeigenschaft in der Startscriptdatei fest, die den
Suite B-Modus angibt.
- Ändern Sie die Konfiguration des Apache Tomcat-Servers so, dass nur das TLS 1.2-Protokoll und unterstützte Cipher-Suites akzeptiert werden.
- Stellen Sie sicher, dass die Verschlüsselungsschlüssel über die erforderliche Mindestschlüsselstärke
verfügen.
- Stellen Sie sicher, dass die digitalen Signaturen über die erforderliche Mindeststärke
verfügen.
Ein System, das für Suite B mit TLS und einer Mindestsicherheitsebene von 128 Bits konfiguriert ist, muss TLS 1.2 und ECDSA-256 oder ECDSA-384 für die Client- oder Serverauthentifizierung verwenden. Zur Unterstützung des Suite B-Profils wird folgende Systemeigenschaft zur Verfügung gestellt:
com.ibm.jsse2.suiteB=128|192|false
Diese Systemeigenschaft hat folgende Parameter:
- 128 gibt die 128-Bit-Mindestsicherheitsebene an.
- 192 gibt die 192-Bit-Mindestsicherheitsebene an.
- false gibt an, dass das System nicht mit
Suite B konform ist. Dies ist der Standardwert.
Wenn Sie die Systemeigenschaft
com.ibm.jsse2.suiteB festlegen,
stellt IBMJSSE2 die Einhaltung der angegebenen Sicherheitsebene sicher. IBMJSSE2 prüft, ob das Protokoll, die Schlüssel und Zertifikate mit dem angeforderten Profil
konform sind.
Nächste Schritte
Aktualisieren Sie die Client-Browser für die Unterstützung von TLS 1.2.
Stellen Sie sicher, dass
die Client- und Serverzertifikate richtig signiert sind. Prüfen Sie die Schlüssel in Keystores.