在 Rational DOORS Web Access 中配置 NIST SP 800-131A 相符性

您可以配置 IBM® Rational® DOORS® Web Access,使其在通訊時使用符合「國家標準與技術機構 (NIST) 特殊出版品 (SP) 800-131A」標準的安全 Socket。該標準指定了可用來加強安全性的演算法,以及演算法所需的最低加密強度。

開始之前

將 Rational DOORS Web Access 配置成符合「聯邦資訊存取安全標準 (FIPS) 140-2」

關於這項作業

如果要將 Rational DOORS Web Access 配置成符合 SP 800-131A,請修改 Apache Tomcat 伺服器配置值,以便在要求中的憑證不符合所需的最低加密強度時,拒絕該要求。您必須使用符合 FIPS 140-2 的安全提供者,並將其系統內容配置成在 SP 800-131A 模式下執行。該配置可確保您使用適當的通訊協定與密碼組合。

若為嚴格相符性,則也會驗證金鑰強度與簽章演算法。 嚴格相符性只接受 TLS 1.2 通訊協定。您必須確定憑證、金鑰及安全亂數產生器(如果有指定)均符合 SP 800-131A。

重要: 如果您指定 TLS 1.2 通訊協定,請參閱供應商說明文件,判斷您的瀏覽器是否支援該版本。

當您讓 Rational DOORS Web Access 能支援嚴格模式下的 SP800-131A 時,也必須將所有遠端服務配置成支援 SP 800-131A 嚴格模式。如果遠端服務不支援 SP 800-131A 嚴格模式的最低需求,凡是送往該服務的要求都會失敗。

Rational DOORS Web Access 配置成符合 NIST SP 800-131A 時,所涉及的步驟如下:
  • 在 Apache Tomcat 啟動 Script 中,設定系統參數,以指定 SSL 通訊協定和 SP 800-131A 模式。設定密碼組合參數,以限制遠端服務的送出要求。
  • 修改 Apache Tomcat 伺服器配置,只接受特定通訊協定與加密組合。
  • 確定加密金鑰符合最低的 112 位元金鑰強度。
  • 確定數位簽章至少是 SHA2 和 2048 位元。

程序

  1. 在編輯器中開啟 Apache Tomcat 啟動 Script 檔,並針對 SSL 通訊協定、SP 800-131A 相符性層次和密碼組合新增參數。在您針對 FIPS 140-2 所新增的 com.ibm.jsse2.usefipsprovider 項目,針對這些參數新增 JAVA_OPTS 項目:
    參數
    https.protocols 設為 TLSv1.2。該通訊協定必須相容於遠端伺服器上啟用的通訊協定。
    com.ibm.jsse2.sp800-131 設為 strict
    https.cipherSuites 輸入支援的密碼組合。這個參數會限制遠端服務送出要求所使用的密碼。這些密碼組合必須相容於設定給遠端伺服器的密碼組合。
    • 在 Windows 系統中,server.start.bat Script 檔是在 Rational DOORS Web Access 安裝目錄中; 例如 C:\Program Files\IBM\Rational\DOORS Web Access\version。本範例包含 SSL 通訊協定和相符性層次參數的必要值,以及支援的密碼組合範例:
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, 
      SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • 在 Linux 系統中,server.start.sh Script 檔位於 Rational DOORS Web Access 安裝目錄。本範例包含 SSL 通訊協定和相符性層次參數的必要值,以及支援的密碼組合範例:
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true" 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_DSS_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      export JAVA_OPTS

    若為嚴格相符性,則也會驗證金鑰強度與簽章演算法。 嚴格相符性只接受 TLS 1.2 通訊協定。您必須確定憑證、金鑰及安全亂數產生器(如果有指定)均符合 SP 800-131A。

  2. 儲存和關閉檔案。
  3. 在編輯器中開啟 Apache Tomcat server.xml 檔案。 該檔案位於 Rational DOORS Web Access 安裝中的 server/conf 目錄; 例如 C:\Program Files\IBM\Rational\DOORS Web Access\version\server\conf
  4. 在 HTTPS 連接器區段中,將 sslProtocolsslEnabledProtocols 值設定為最低 TLS 版本,版本是依據 com.ibm.jsse2.sp800-131 系統內容值來決定;例如:
    sslProtocol="TLSv1.2"
    sslEnabledProtocols="TLSv1.2"
      
    如需 HTTPS 連接器區段的相關資訊,請參閱將 Rational DOORS Web Access 配置成使用 SSL 或 TLS
  5. 設定密碼組合,以進一步限制伺服器將接受的密碼組合。這個項目的值必須符合伺服器啟動 Script 中之 https.cipherSuites 參數內使用的值,如步驟 1 的說明;例如:
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    確定 Secure Sockets Layer (SSL) 配置成只使用經過 SP 800-131A 核准的密碼組合。如需密碼組合清單,請參閱相關資訊中的「IBM JSSE2 密碼組合」。

下一步

更新為可支援最低 TLS 版本的用戶端瀏覽器。最低 TLS 版本是由 server.xml 檔中 server.xml sslProtocol 內容指定的值來決定。

請確定包含根憑證與中繼憑證在內的用戶端與伺服器憑證最少為 112 位元,且經過適當簽署,如此程序中所定義。 檢查金鑰儲存庫中的金鑰,以及信任儲存庫中的信任憑證。

請參閱Rational DOORS 資料庫伺服器和用戶端中配置 NIST SP 800-131A 的相符性


意見