Rational DOORS Web Access での NIST SP 800-131A 準拠の構成

IBM® Rational® DOORS® Web Access は、米国連邦情報・技術局 (NIST) の Special Publication (SP) 800-131A 標準に準拠して、セキュア・ソケット経由で通信するように構成できます。 この標準は、セキュリティー強化のために使用するアルゴリズムと、そのアルゴリズムに必要な最小暗号強度を指定します。

始める前に

Rational DOORS Web Access が連邦情報処理標準 (FIPS) 140-2 に準拠するように構成します

このタスクについて

Rational DOORS Web Access が SP 800-131A に準拠するよう構成するには、必要な最小暗号強度を満たしていない証明書を使用した要求は拒否するように、Apache Tomcat サーバーの構成値を変更します。 FIPS 140-2 に準拠したセキュリティー・プロバイダーを使用し、 SP 800-131A モードで稼働するようシステム・プロパティーを構成する必要があります。この構成により、適切なプロトコルと暗号スイートを使用できるように なります。

厳密な準拠の場合、鍵強度と署名アルゴリズムも検証されます。厳密な準拠では、TLS 1.2 プロトコルのみが許可されます。SP 800-131A が指定されている場合、証明書、鍵、およびセキュアな乱数発生ルーチンが SP 800-131A に準拠していることを確認する必要があります。

重要: TLS 1.2 プロトコルを指定する場合は、ベンダーの資料を参照して、ご使用のブラウザーがこのバージョンをサポートしているかどうかを確認してください。

Rational DOORS Web Access が厳密モードで SP800-131A をサポートすることが有効になっている場合、すべてのリモート・サービスも SP 800-131A 厳密モードをサポートするように構成する必要があります。 リモート・サービスが SP 800-131A 厳密モードの最小要件をサポートしない場合、そのリモート・サービスへのすべての要求は失敗します。

Rational DOORS Web Access が NIST SP 800-131A に準拠するよう構成するには、次の手順に従います。
  • Apache Tomcat 始動スクリプトで、SSL プロトコルおよび SP 800-131A モードを指定するシステム・パラメーターを設定します。 暗号スイート・パラメーターを、リモート・サービスの発信要求を制限するように設定します。
  • 特定のプロトコルや暗号スイートのみを受け入れるよう、Apache Tomcat サーバーの構成を変更します。
  • 暗号鍵が最小鍵強度 112 ビットを満たしていることを確認します。
  • デジタル署名が少なくとも SHA2 および 2048 ビットであることを確認します。

手順

  1. Apache Tomcat 始動スクリプト・ファイルをエディターで開き、SSL プロトコル、SP 800-131A 準拠レベル、および暗号スイートのパラメーターを追加します。 FIPS 140-2 用に追加した com.ibm.jsse2.usefipsprovider 項目で、次のパラメーターに JAVA_OPTS 項目を追加します。
    パラメーター
    https.protocols TLSv1.2 に設定します。 このプロトコルは、リモート・サーバー上で有効になっているプロトコルと互換性がなければなりません。
    com.ibm.jsse2.sp800-131 strict に設定します。
    https.cipherSuites サポートされる暗号スイートを入力します。 このパラメーターは、リモート・サービスの発信要求により使用される暗号を制限します。 この暗号スイートは、リモート・サーバーに設定される暗号スイートと互換性がなければなりません。
    • Windows システムでは、server.start.bat スクリプト・ファイルは、Rational DOORS Web Access インストール・ディレクトリー (例: C:¥Program Files (x86)¥IBM¥Rational¥DOORS Web Access¥version) にあります。 この例では、SSL プロトコルおよび準拠レベル・パラメーターの必須の値を示しています。さらに、サポートされる暗号スイートの例も示しています。
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, 
      SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      cd %CATALINA_HOME%¥bin
      call ".¥startup.bat"
    • UNIX システムでは、server.start.sh スクリプト・ファイルは Rational DOORS Web Access インストール・ディレクトリーにあります。 この例では、SSL プロトコルおよび準拠レベル・パラメーターの必須の値を示しています。さらに、サポートされる暗号スイートの例も示しています。
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true" 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_DSS_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      export JAVA_OPTS

    厳密な準拠の場合、鍵強度と署名アルゴリズムも検証されます。厳密な準拠では、TLS 1.2 プロトコルのみが許可されます。SP 800-131A が指定されている場合、証明書、鍵、およびセキュアな乱数発生ルーチンがすべて SP 800-131A に準拠していることを確認する必要があります。

  2. ファイルを保存して閉じます。
  3. Apache Tomcat server.xml ファイルをエディターで開きます。 このファイルは Rational DOORS Web Access インストール済み環境の server/conf ディレクトリー (例: C:¥Program Files (x86)¥IBM¥Rational¥DOORS Web Access¥version¥server¥conf) にあります。
  4. HTTPS コネクター・セクションで、sslProtocol の値と sslEnabledProtocols の値を、最小 TLS バージョンに設定します。このバージョンは、com.ibm.jsse2.sp800-131 システム・プロパティーの値によって決定される値に基づいています。例:
    sslProtocol="TLSv1.2"
    sslEnabledProtocols="TLSv1.2"
      
    HTTPS コネクター・セクションの詳細については、『SSL または TLS を使用する Rational DOORS Web Access の構成』を参照してください。
  5. 暗号スイートを、サーバーが受け入れる対象の制限度がさらに高いものに設定します。 この項目の値は、手順 1 での説明どおり、サーバー始動スクリプトの https.cipherSuites パラメーターで使用される値と一致していなければなりません。以下に例を示します。
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    Secure Sockets Layer (SSL) が、SP 800-131A で承認された暗号スイートのみを使用するよう構成されていることを確認してください。暗号スイートのリストについては、関連情報の『IBM JSSE2 暗号スイート』を参照してください。

次のタスク

クライアントのブラウザーを、最小の TLS バージョンをサポートするブラウザーに更新します。 server.xml ファイルにある sslProtocol プロパティーに指定された値により、最小の TLS バージョンが決まります。

クライアントとサーバーの証明書 (ルート証明書と中間証明書を含む) が、 この手順で定義されているとおり、112 ビット以上で、適切に署名されていることを確認してください。鍵ストア内の鍵と、 トラストストア内の信頼証明書を確認してください。

Rational DOORS データベース・サーバーおよびクライアントでの NIST SP 800-131A の準拠の構成』を参照してください。


フィードバック