É possível configurar o servidor e o cliente de banco de dados do Rational DOORS para se comunicar por soquetes seguros em conformidade com a norma do National Institute of Standards and Technology Special Publications (NIST SP) 800-131A.
Sobre Esta Tarefa
O padrão NIST SP 800-131A especifica os algoritmos que devem ser usados para fortalecer a segurança e as intensidades de criptografia mínimas necessárias para eles. É possível configurar a conformidade como estrita ou transitória:
- No modo estrito, todas as comunicações devem ser feitas em conformidade com o SP 800-131A. Por exemplo, se o cliente do Rational DOORS não usar o modo estrito, mas o servidor do Rational DOORS usar, o servidor não poderá autenticar usuários usando login certificado. O modo estrito requer o protocolo TLS 1.2 e certificados SHA2. Para deixar o modo estrito mais fortalecido, é possível requerer que toda a cadeia de certificados, não apenas o certificado final, seja verificada para certificados SHA2.
- O modo transitório remove alguns requisitos do SP 800-131A e permite a comunicação com componentes e aplicativos que usam certificados SHA1 e o protocolo TLS 1, TLS 1.1 ou TLS 1.2.
Esta configuração é opcional. Ela pode impactar o desempenho e pode requerer novos certificados.
Tabela 1. Comutadores de Linha de Comandos e Configurações de RegistroConfigurações de comutador e registro |
Descrição |
-sp800-131 |
Quando este comutador é usado sozinho, ele impõe a conformidade estrita. Para fortalecer ou enfraquecer este comutador, utilize-o com um dos outros comutadores, que são opcionais. |
-strictSha2 |
Esta opção fortalece o modo estrito requerendo que toda a cadeia de certificados, não apenas o certificado final, seja verificada por certificados SHA2. Por exemplo, um servidor Rational DOORS que usa um certificado SHA2 que possui uma raiz SHA1 poderá ser iniciado no modo seguro apenas se o SP 800-131A for usado. Entretanto, se ambos, o SP 800-131A e o strictSha2, estiverem especificados, o servidor não poderá ser iniciado em modo seguro. Se o -allowSha1 for usado, esta opção será ignorada. |
-allowSha1 |
Esta opção de modo transitório permite que conexões sejam feitas com certificados SHA1, além do SHA2. |
-allowSha1 |
Esta opção de modo transitório permite que conexões sejam feitas para protocolos TLS 1.0 e TLS 1.1, juntamente com o TLS
1.2. |
Procedimento
Para configurar o cliente e o servidor de banco de dados
do Rational DOORS para obedecerem ao NIST SP 800-131A:
- Abra uma linha de comandos, inicie o servidor de banco de dados e insira opções da tabela usando o comando doorsd. Por exemplo:
doorsd -sp800-131 -allowTls10And11 -allowSha1
- Da linha de comandos, inicie o cliente e insira opções da tabela usando o comando doors. Por exemplo:
doors -sp800-131 -allowTls10And11 -allowSha1