在 Rational DOORSWeb Access 中配置对 NSA Suite B Cryptography 的合规性

可以配置 IBM® Rational® DOORS® Web Access 以通过符合美国安全局 (NSA) Suite B Cryptography 准则的安全套接字进行通信。Suite B 准则加强了联邦信息处理标准 (FIPS) 140-2 和美国国家标准技术学会 (NIST) 特殊出版物 (SP) 800-131A 的一致性策略。

开始之前

配置 Rational DOORS Web Access 以符合 FIPS 140-2

关于此任务

要将 Rational DOORS Web Access 配置为符合 Suite B,需要修改 Apache Tomcat 服务器配置值,以拒绝不满足所需最小加密强度的证书。

必须使用符合 FIPS 140-2 的安全提供程序,并且必须将其系统属性配置为以 Suite B 方式运行。该配置确保用户在使用正确的协议和密码套件。Suite B 合规性仅允许 TLS 1.2 协议。必须确保证书、密钥和安全随机数字生成器(如果已指定)均符合 Suite B。

要点: 如果您指定 TLS 1.2 协议,请参阅供应商文档来确定浏览器是否支持该版本。
Rational DOORS Web Access 配置为符合 Suite B 涉及以下步骤:
  • 在启动脚本文件中,设置指定 SSL 协议和 Suite B 方式的参数。
  • 修改 Apache Tomcat 服务器配置以仅接受 TLS 1.2 协议和受支持的密码套件。
  • 确保密钥符合所需的最小强度。
  • 确保数字签名符合所需的最小强度。
如果使用 TLS 和最低安全级别 128 位将某个系统配置为符合 Suite B,那么该系统必须将 TLS 1.2 以及 ECDSA-256 或 ECDSA-384 用于客户机或服务器认证。为支持 Suite B 概要文件,提供了以下系统属性:
com.ibm.jsse2.suiteB=128|192|false
该系统属性具有以下参数:
  • 128 指定最低 128 位安全级别。
  • 192 指定最低 192 位安全级别。
  • false 指定系统不符合 Suite B。该值是缺省值。
设置 com.ibm.jsse2.suiteB 系统属性时,IBMJSSE2 确保符合指定的安全级别。 IBMJSSE2 验证协议、密钥和证书是否符合请求的概要文件。

过程

  1. 在编辑器中打开 Apache Tomcat 启动脚本文件并添加 SSL 协议、位级别和密码套件的参数。在 com.ibm.jsse2.usefipsprovider 条目处,添加以下参数的条目:
    参数
    https.protocols 设置为 TLSv1.2
    com.ibm.jsse2.suiteB 设置为 128192
    https.cipherSuites 输入受支持的密码套件。该参数限制了传出请求用于远程服务的密码。这些密码套件必须与为远程服务器设置的密码套件保持一致。
    • 在 Windows 系统上,server.start.bat 脚本文件位于 Rational DOORS Web Access 安装目录中;例如 C:\Program Files (x86)\IBM\Rational\DOORS Web Access\version。 该示例包含了 SSL 协议和一致性级别参数所需的最小值,以及受支持密码套件的示例:
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
      要点: 如果 Dcom.ibm.jsse2.sp800-131 属性位于文件中,则移除该属性。
    • 在 UNIX 上,server.start.sh 脚本文件位于 Rational DOORS Web Access 安装目录中。 该示例包含了 SSL 协议和一致性级别参数所需的最小值,以及受支持密码套件的示例:
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      export JAVA_OPTS
      要点: 如果 Dcom.ibm.jsse2.sp800-131 属性位于文件中,则移除该属性。
  2. 在编辑器中打开 Apache Tomcat 的 server.xml 文件。该文件位于 Rational DOORS Web Access 安装中的 server/conf 目录中;例如 C:\Program Files (x86)\IBM\Rational\DOORS Web Access\version\server\conf
  3. sslProtocol 值设置为 TLS 1.2;例如:
    sslProtocol="TLSv1.2"
  4. 将密码套件设置为符合 Suite B 的密码。该条目的值必须与在服务器启动脚本的 https.cipherSuites 参数中使用的值匹配,如步骤 1 中所述;例如:
    ciphers="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
    确保安全套接字层 (SSL) 配置为仅使用经过批准的密码套件以符合 Suite B。

下一步做什么

更新客户机浏览器以支持 TLS 1.2。

确保客户机和服务器证书正确签名。检查密钥库中的密钥。


反馈