Configuration de la conformité à NIST SP 800-131A dans le client et le serveur de base de données

Vous pouvez configurer le client et le serveur de base de données Rational DOORS en vue de communiquer via une connexion sécurisée conformément à la norme NIST SP (National Institute of Standards and Technology Special Publications) 800-131A.

Pourquoi et quand exécuter cette tâche

La norme NIST SP 800-131A spécifie les algorithmes permettant de renforcer la sécurité et les niveaux de chiffrement. En mode strict, toutes les communications doivent être conformes à SP 800-131A. Par exemple, si le client Rational DOORS n'utilise pas le mode strict contrairement au serveur Rational DOORS, le serveur ne peut pas authentifier les utilisateurs à l'aide de la connexion par certificat. Le mode strict nécessite le protocole TLS 1.2 et les certificats SHA2. Pour renforcer le mode strict, vous pouvez requérir que la chaîne de certificats complète, et pas uniquement le certificat final, soit vérifiée pour les certificats SHA2.

Cette configuration est facultative. Elle peut agir sur les performances et nécessiter de nouveaux certificats.

Important : Si une combinaison de paramètres non valide est entrée dans le registre, le serveur de base de données peut apparaître comme étant démarré en tant que service Windows, alors que les clients ne parviennent pas à se connecter au serveur et que le service ne peut pas être arrêté via le panneau de configuration Services. Utilisez le Gestionnaire des tâches pour arrêter le processus doorsd.exe.
Remarque : Vous devez définir Internet Explorer de manière à utiliser le protocole TLS 1.2 si vous souhaitez utiliser le chiffrement strict (SP800-131A) dans le client Rational DOORS. Seules les versions Internet Explorer 8 et ultérieures prennent en charge le protocole TLS 1.2. Dans Internet Explorer, sélectionnez Outils > Options Internet. Dans l'onglet Avancé, faites défiler jusqu'à la section Sécurité et cochez la case Utiliser TLS 1.2.
Tableau 1. Options de ligne de commande et paramètres de registre
Option et paramètre de registre Description
-sp800-131 Lorsque cette option est utilisée seule, elle impose une conformité stricte. Utilisez le commutateur supplémentaire, facultatif, pour renforcer ce commutateur.
-strictSha2 Cette option renforce le mode strict en exigeant que la chaîne de certificats complète, et non uniquement le certificat final, soit vérifiée pour les certificats SHA2. Par exemple, un serveur Rational DOORS qui utilise un certificat SHA2, possédant lui-même une racine SHA1, peut démarrer en mode sécurisé uniquement si la norme SP 800-131A est utilisée. Toutefois, si SP 800-131A et strictSha2 sont spécifiés, le serveur ne peut pas démarrer en mode sécurisé.

Procédure

Pour configurer le client et le serveur de base de données Rational DOORS conformément à la norme NIST SP 800-131A :

  1. Ouvrez une ligne de commande, puis démarrez le serveur de base de données et entrez les options de la table à l'aide de la commande doorsd. Par exemple :
    doorsd -sp800-131 -strictSha2
  2. Dans la ligne de commande, démarrez le client et entrez les options de la table à l'aide de la commande doors. Par exemple :
    doors -sp800-131 -strictSha2

Commentaires en retour