Konformität mit NIST SP 800-131A in Rational DOORS Web Access konfigurieren

Sie können IBM® Rational DOORS Web Access so konfigurieren, dass die Kommunikation über sichere Sockets unter Einhaltung des Standards 'Special Publication (SP) 800-131a' des National Institute of Standards and Technology (NIST) erfolgt. Dieser Standard gibt Algorithmen zur Erhöhung der Sicherheit sowie die Mindestverschlüsselungsstärken an, die für die Algorithmen erforderlich sind.

Vorbereitende Schritte

Konfigurieren Sie Rational DOORS Web Access für die Einhaltung von Federal Information Processing Standard (FIPS) 140-2.

Informationen zu diesem Vorgang

Um Rational DOORS Web Access für die Einhaltung von SP 800-131A zu konfigurieren, müssen Sie die Apache Tomcat-Serverkonfigurationswerte so ändern, dass Anforderungen mit Zertifikaten zurückgewiesen werden, die nicht den erforderlichen Mindestverschlüsselungsstärken entsprechen. Sie müssen einen Sicherheitsprovider verwenden, der mit FIPS 140-2 konform ist, und die zugehörigen Systemeigenschaften so konfigurieren, dass die Ausführung im SP 800-131A-Modus erfolgt. Diese Konfiguration stellt sicher, dass Sie das richtige Protokoll und die richtigen Cipher-Suites verwenden.

Für eine strikte Einhaltung werden auch die Schlüsselstärke und die Signaturalgorithmen geprüft. Eine strikte Konformität ist nur mit dem TLS 1.2-Protokoll möglich. Sie müssen sicherstellen, dass die Zertifikate, Schlüssel und der sichere Zufallszahlengenerator (falls angegeben) mit SP 800-131A konform sind.

Wichtig: Wenn Sie das TLS 1.2-Protokoll angeben, können Sie anhand der Dokumentation des Anbieters ermitteln, ob Ihr Browser diese Version unterstützt.

Wenn Rational DOORS Web Access für die Unterstützung von SP800-131A im strikten Modus aktiviert ist, müssen alle fernen Services ebenfalls für die Unterstützung von SP 800-131A im strikten Modus konfiguriert sein. Falls ein ferner Service die Mindestanforderungen für SP 800-131A im strikten Modus nicht unterstützt, schlagen alle an diesen Service gerichteten Anforderungen fehl.

Die Konfiguration von Rational DOORS Web Access zur Einhaltung von NIST SP 800-131A umfasst die folgenden Schritte:
  • Legen Sie im Apache Tomcat-Startscript die Systemparameter fest, die das SSL-Protokoll und den SP 800-131A-Modus angeben. Legen Sie einen Cipher-Suite-Parameter fest, um die abgehenden Anforderungen für ferne Services zu beschränken.
  • Ändern Sie die Apache Tomcat-Serverkonfiguration, sodass nur bestimmte Protokolle und Cipher-Suites akzeptiert werden.
  • Stellen Sie sicher, dass die Verschlüsselungsschlüssel über eine Mindestschlüsselstärke von 112 Bit verfügen.
  • Stellen Sie sicher, dass digitale Signaturen mindestens über SHA2-Verschlüsselung und 2048 Bit verfügen.

Vorgehensweise

  1. Öffnen Sie die Datei für das Apache Tomcat-Startscript in einem Editor und fügen Sie Parameter für das SSL-Protokoll, die Konformitätsebene von SP 800-131A und die Cipher-Suites hinzu. Fügen Sie beim Eintrag com.ibm.jsse2.usefipsprovider, den Sie für FIPS 140-2 hinzugefügt hatten, JAVA_OPTS-Einträge für die folgenden Parameter hinzu:
    Parameter Wert
    https.protocols Legen Sie den Wert TLSv1.2 fest. Das Protokoll muss mit den Protokollen kompatibel sein, die auf dem fernen Server aktiviert sind.
    com.ibm.jsse2.sp800-131 Legen Sie den Wert strict fest.
    https.cipherSuites Geben Sie eine unterstützte Cipher-Suite ein. Dieser Parameter beschränkt die Chiffrierwerte, die von abgehenden Anforderungen für ferne Services verwendet werden. Diese Cipher-Suites müssen mit den Cipher-Suites kompatibel sein, die für den fernen Server festgelegt sind.
    • Auf Windows-Systemen befindet sich die Scriptdatei server.start.bat im Installationsverzeichnis von Rational DOORS. Beispiel: C:\Program Files (x86)\IBM\Rational\DOORS Web Access\version. Das folgende Beispiel enthält die erforderlichen Werte der Parameter für das SSL-Protokoll und die Konformitätsebene sowie ein Beispiel für unterstützte Cipher-Suites:
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, 
      SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Auf UNIX-Systemen befindet sich die Scriptdatei server.start.sh im Installationsverzeichnis von Rational DOORS Web Access. Das folgende Beispiel enthält die erforderlichen Werte der Parameter für das SSL-Protokoll und die Konformitätsebene sowie ein Beispiel für unterstützte Cipher-Suites:
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true" 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_DSS_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      export JAVA_OPTS

    Für eine strikte Einhaltung werden auch die Schlüsselstärke und die Signaturalgorithmen geprüft. Eine strikte Konformität ist nur mit dem TLS 1.2-Protokoll möglich. Sie müssen sicherstellen, dass alle Zertifikate, Schlüssel und der sichere Zufallszahlengenerator (falls angegeben) mit SP 800-131A konform sind.

  2. Speichern und schließen Sie die Datei.
  3. Öffnen Sie die Apache Tomcat-Datei server.xml in einem Editor. Diese Datei befindet sich bei der Rational DOORS Web Access-Installation im Verzeichnis server/conf (z. B. C:\Program Files (x86)\IBM\Rational\DOORS Web Access\version\server\conf).
  4. Legen Sie im Abschnitt für den HTTPS-Connector für den sslProtocol- und den sslEnabledProtocols-Wert die mindestens erforderliche TLS-Version fest. Diese basiert auf dem Wert, der durch den Systemeigenschaftswert com.ibm.jsse2.sp800-131 bestimmt wird. Beispiel:
    sslProtocol="TLSv1.2"
    sslEnabledProtocols="TLSv1.2"
      
    Weitere Informationen zum Abschnitt für den HTTPS-Connector finden Sie unter Rational DOORS Web Access für die Verwendung von SSL oder TLS konfigurieren.
  5. Legen Sie die Cipher-Suites fest, um die vom Server akzeptierte Kommunikation weiter zu beschränken. Der Wert für diesen Eintrag muss mit dem Wert übereinstimmen, der im Parameter https.cipherSuites des Serverstartscripts verwendet wird (siehe Schritt 1). Beispiel:
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    Stellen Sie sicher, dass SSL (Secure Sockets Layer) so konfiguriert wurde, dass nur eine für SP 800-131A genehmigte Cipher-Suite verwendet wird. Eine Liste der Cipher-Suites finden Sie unter "IBM JSSE2 Cipher Suites" in den zugehörigen Informationen.

Nächste Schritte

Geben Sie einen Client-Browser an, der die mindestens erforderliche TLS-Version unterstützt. Die mindestens erforderliche TLS-Version wird durch den in der Datei server.xml in der Eigenschaft sslProtocol angegebenen Wert bestimmt.

Stellen Sie sicher, dass die Client- und Serverzertifikate - einschließlich Stamm- und Zwischenzertifikate - eine Mindestschlüssellänge von 112 Bit haben und richtig signiert sind (entsprechend der hier beschriebenen Prozedur). Überprüfen Sie die Schlüssel in Keystores und die vertrauenswürdigen Zertifikate in Truststores.

Weitere Informationen finden Sie unter Konformität mit NIST SP 800-131A im Rational DOORS-Datenbankserver und -client konfigurieren.


Feedback