Configurando a conformidade com NIST SP 800-131A no Servidor e Cliente do Banco de Dados

É possível configurar o servidor e o cliente de banco de dados do Rational DOORS para se comunicar por soquetes seguros em conformidade com a norma do National Institute of Standards and Technology Special Publications (NIST SP) 800-131A.

Antes de Iniciar

Faça o backup do registro do computador antes de executar este procedimento.

Sobre Esta Tarefa

O padrão NIST SP 800-131A especifica algoritmos a serem usados para fortalecer a segurança e a criptografia. No modo estrito, todas as comunicações devem ser feitas em conformidade com o SP 800-131A. Por exemplo, se o cliente do Rational DOORS não usar o modo estrito, mas o servidor do Rational DOORS usar, o servidor não poderá autenticar usuários usando login certificado. O modo restrito requer o protocolo Transport Layer Security (TLS) 1.2 e certificados SHA2. Para deixar o modo estrito mais fortalecido, é possível requerer que toda a cadeia de certificados, não apenas o certificado final, seja verificada para certificados SHA2.

Esta configuração é opcional. Ela pode impactar o desempenho e pode requerer novos certificados.

Importante: Se uma combinação inválida de configurações for inserida no registro, o servidor de banco de dados poderá parecer ter iniciado como um serviço Windows, mas os clientes não podem se conectar ao servidor e o serviço não pode ser interrompido usando o painel de controle Serviços. É possível parar o processo doorsd.exe usando o Gerenciador de tarefas.
Nota: Você deve configurar o Internet Explorer para usar o TLS v1.2, se desejar usar criptografia (SP800-131A) restrita no cliente Rational DOORS. Somente o Internet Explorer v8 e posterior suportam o TLS v1.2. No Internet Explorer, selecione Ferramentas > Opções de Internet. Na guia Avançado, role para a seção Segurança e marque a caixa de TLS 1.2.
Tabela 1. Comutadores da linha de comandos
Comutador Descrição
-sp800-131 Quando este comutador é usado sozinho, ele impõe a conformidade estrita. Para reforçar esse comutador, use o comutador adicional, opcional.
-strictSha2 Esta opção fortalece o modo estrito requerendo que toda a cadeia de certificados, não apenas o certificado final, seja verificada por certificados SHA2. Por exemplo, um servidor Rational DOORS que usa um certificado SHA2 que possui uma raiz SHA1 poderá ser iniciado no modo seguro apenas se o SP 800-131A for usado. Entretanto, se ambos, o SP 800-131A e o strictSha2, estiverem especificados, o servidor não poderá ser iniciado em modo seguro.

Procedimento

Para configurar o cliente e o servidor de banco de dados do Rational DOORS para obedecerem ao NIST SP 800-131A:

  1. Abra uma linha de comandos, inicie o servidor de banco de dados e insira opções da tabela usando o comando doorsd. Por exemplo:
    doorsd -sp800-131 -strictSha2
  2. Da linha de comandos, inicie o cliente e insira opções da tabela usando o comando doors. Por exemplo:
    doors -sp800-131 -strictSha2
  3. Abra o registro do computador e navegue para esta seção: HKEY_LOCAL_MACHINE\SOFTWARE\Telelogic\DOORS\9.6\Config.
  4. Inclua estes valores de sequência nessa seção com os dados dos valores correspondentes:
    Tabela 2. Valores e dados de registro
    Valor de sequência Dados do valor
    allowSha1 true
    sp800-131 true
    certName <nome do certificado>*
    *O valor de sequência certName identifica o rótulo do certificado que identifica o servidor durante a autenticação de segura. O rótulo padrão é IBMSV1.
  5. Pare e inicie o servidor de banco de dados Rational DOORS.

Feedback