データベース・サーバーおよびクライアントでの NIST SP 800-131A 準拠の構成

Rational® DOORS® データベース・サーバーおよびクライアントが、米国連邦情報・技術局の Special Publications (NIST SP) 800-131A 標準に準拠して、セキュア・ソケット上で通信するよう構成できます。

このタスクについて

NIST SP 800-131A 標準は、セキュリティー強化のために使用するアルゴリズム、および暗号強度の両方を指定します。 厳密モードでは、すべての通信が SP 800-131A に準拠する必要があります。例えば、Rational DOORS クライアントが厳密モードを使用していないにもかかわらず、Rational DOORS サーバーは厳密モードを使用している場合、サーバーは、証明書ログインを使用してユーザーを認証できません。厳密モードには、トランスポート層セキュリティー (TLS) 1.2 プロトコルおよび SHA2 証明書が必要です。 厳密モードを強化するには、END CERTIFICATE のみでなく証明書チェーン全体で SHA2 証明書の検査をするように要求できます。

この構成はオプションです。この構成を使用すると、パフォーマンスに影響したり、新しい証明書が必要になったりする場合があります。

重要: 無効な組み合わせの設定がレジストリーに入力されると、データベース・サーバーは Windows サービスとして開始されたかのように表示されることがありますが、クライアントはサーバーに接続できず、サービスを「サービス」コントロール・パネルを用いて停止することもできません。 doorsd.exe プロセスは、タスク・マネージャーを使用して停止することはできません。
注: Rational DOORS クライアントで厳密 (SP800-131A) 暗号化を使用する場合は、Internet Explorer が TLS v1.2 を使用するように設定する必要があります。 TLS v1.2 をサポートするのは、Internet Explorer V8 以上からです。 Internet Explorer で、「ツール」>「インターネット オプション」を選択します。 「詳細設定」タブで、「セキュリティ」のセクションまでスクロールし、「TLS 1.2 の使用」チェック・ボックスにマークを付けます。
表 1. コマンド・ライン・スイッチおよびレジストリー設定
スイッチおよびレジストリー設定 説明
-sp800-131 このスイッチを単独で使用すると、厳密な準拠が強制されます。このスイッチを強化するには、追加のオプション・スイッチを使用します。
-strictSha2 このオプションは、END CERTIFICATE のみでなく証明書チェーン全体で SHA2 証明書の検査をするよう要求することによって、厳密モードを強化します。例えば、SHA1 ルートを持つ SHA2 証明書を使用する Rational DOORS サーバーは、SP 800-131A が使用されている場合にのみ、セキュア・モードで始動できます。ただし、SP 800-131A と strictSha2 の両方を指定すると、サーバーをセキュア・モードで始動できません。

手順

Rational DOORS クライアントおよびデータベース・サーバーが NIST SP 800-131A に準拠するよう構成するには、以下を実行します。

  1. コマンド・ラインを開いてから、データベース・サーバーを始動し、doorsd コマンドを使用してテーブルからオプションを入力します。例えば、次のようになります。
    doorsd -sp800-131 -strictSha2
  2. コマンド・ラインから、クライアントを始動し、doors コマンドを使用してテーブルからオプションを入力します。例えば、次のようになります。
    doors -sp800-131 -strictSha2

フィードバック