Konformität mit NIST SP 800-131A im Datenbankserver und Client konfigurieren

Sie können den Rational DOORS-Datenbankserver und Client für die Kommunikation über sichere Sockets und in Konformität mit dem Standard 800-131A des National Institute of Standards and Technology Special Publications (NIST SP) konfigurieren.

Vorbereitende Schritte

Sichern Aie ihr Computer-Registry, bevor Sie diese Prozedur ausführen.

Informationen zu diesem Vorgang

Der Standard NIST SP 800-131A gibt Algorithmen zur Erhöhung der Sicherheit sowie der Verschlüsselungsstärken an. Im strikten Modus muss die gesamte Kommunikation mit dem Standard SP 800-131A übereinstimmen. Wenn der Rational DOORS-Client beispielsweise im strikten Modus, der Rational DOORS-Server jedoch nicht im strikten Modus ausgeführt wird, kann der Server Benutzer nicht über die Anmeldung mit einem Zertifikat authentifizieren. Im strikten Modus sind das Protokoll 'Transport Layer Security (TLS) 1.2' und SHA2-Zertifikate erforderlich. Um den strikten Modus zu verstärken, können Sie verlangen, dass die vollständige Zertifikatskette und nicht nur das Endzertifikat auf SHA2-Zertifikate geprüft wird.

Diese Konfiguration ist optional. Sie kann sich auf die Leistung auswirken. Zudem können neue Zertifikate erforderlich sein.

Wichtig: Falls in der Registry eine ungültige Kombination von Einstellungen angegeben wird, scheint es möglicherweise so, als ob der Datenbankserver als Windows-Dienst gestartet wurde. Clients können jedoch keine Verbindung zum Server herstellen und der Service kann nicht mit der Systemsteuerungskomponente 'Dienste' gestoppt werden. In diesem Fall können Sie den Prozess 'doorsd.exe' mit dem Task-Manager stoppen.
Anmerkung: Sie müssen für den Internet Explorer die Verwendung von TLS v1.2 festlegen, falls Sie im Rational DOORS-Client die strikte Verschlüsselung (SP800-131A) nutzen wollen. TLS v1.2 wird vom Internet Explorer nur ab Version 8 unterstützt. Wählen Sie im Internet Explorer die Optionen 'Extras > Internetoptionen' aus. Blättern Sie auf der Seite 'Erweitert' bis zum Abschnitt 'Sicherheit' und wählen Sie das Kontrollkästchen 'TLS 1.2' aus.
Tabelle 1. Befehlszeilenschalter
Schalter Beschreibung
-sp800-131 Bei ausschließlicher Verwendung dieser Option wird die strikte Konformität erzwungen. Um diese Option zu verstärken, verwenden Sie die zusätzliche optionale Option.
-strictSha2 Diese Option verstärkt den strikten Modus, indem vorausgesetzt wird, dass die vollständige Zertifikatskette und nicht nur das Endzertifikat auf SHA2-Zertifikate geprüft wird. Ein Rational DOORS-Server, der ein SHA2-Zertifikat mit einem SHA1-Stammverzeichnis verwendet, kann beispielsweise im sicheren Modus gestartet werden, wenn nur der Standard SP 800-131A verwendet wird. Sind jedoch sowohl SP 800-131A als auch strictSha2 angegeben, kann der Server nicht im sicheren Modus gestartet werden.

Vorgehensweise

So konfigurieren Sie den Rational DOORS-Client und Datenbankserver für die Einhaltung von NIST SP 800-131A:

  1. Öffnen Sie eine Befehlszeile und starten Sie den Datenbankserver. Geben Sie dann mithilfe des Befehls 'doorsd' die Optionen aus der Tabelle ein. Beispiel:
    doorsd -sp800-131 -strictSha2
  2. Starten Sie den Client über die Befehlszeile und geben Sie mithilfe des Befehls 'doors' die Optionen aus der Tabelle ein. Beispiel:
    doors -sp800-131 -strictSha2
  3. Öffnen Sie Ihr Computer-Registry, und navigieren Sie zu diesem Abschnitt: HKEY_LOCAL_MACHINE\SOFTWARE\Telelogic\DOORS\9.6\Config.
  4. Fügen Sie diese Zeichenfolgewerte diesem Abschnitt mit den entsprechenden Wertedaten hinzu:
    Tabelle 2. Registry-Werte und Daten
    Zeichenfolgewert Wertedaten
    allowSha1 true
    sp800-131 true
    certName <zertifikatsname>*
    *Der Zeichenfolgewert certName gibt die Bezeichnung des Zertifikats an, das zum Identifizieren des Servers während der sicheren Authentifizierung verwendet wird. Die Standardbezeichnung ist IBMSV1.
  5. Stoppen und starten Sie den Rational DOORS-Datenbankserver.

Feedback