在 Rational DOORS Web Access 中配置 NSA Suite B 加密法相符性

您可以配置 IBM® Rational® DOORS® Web Access,使其在通訊時使用符合「美國國家安全局 (NSA) Suite B」加密法準則標準的安全 Socket。Suite B 準則可加強「聯邦資訊存取安全標準 (FIPS) 140-2」和「國家標準與技術機構 (NIST) 特殊出版品 (SP) 800-131A」的相符性原則。

開始之前

配置 Rational DOORS Web Access 以符合 FIPS 140-2

關於這項作業

如果要將 Rational DOORS Web Access 配置成符合 Suite B,請修改 Apache Tomcat 伺服器配置值,以便在要求中的憑證不符合所需的最低加密強度時,拒絕該要求。

您必須使用符合 FIPS 140-2 的安全提供者,並將其系統內容配置為以 Suite B 模式執行。 該配置可確保您使用適當的通訊協定與密碼組合。 Suite B 相符性只接受 TLS 1.2 通訊協定。您必須確保憑證、金鑰及安全亂數產生器(如果有指定)均符合 Suite B。

重要: 如果您指定 TLS 1.2 通訊協定,請參閱供應商說明文件,判斷您的瀏覽器是否支援該版本。
Rational DOORS Web Access 配置成符合 Suite B 時,所涉及的步驟如下:
  • 在啟動 Script 檔中,設定參數以指定 SSL 通訊協定和 Suite B 模式。
  • 修改 Apache Tomcat 伺服器配置,只接受 TLS 1.2 通訊協定與支援的密碼組合。
  • 確保加密金鑰符合所需的最低金鑰強度。
  • 確保數位簽章符合所需的最低強度。
配置 Suite B 搭配 TLS 與最低 128 位元安全層次的系統必須使用 TLS 1.2 及 ECDSA-256 或 ECDSA-384,來進行用戶端或伺服器鑑別。如果要支援 Suite B 設定檔,則須提供下列系統內容:
com.ibm.jsse2.suiteB=128|192|false
該系統內容具有下列參數:
  • 128 指定 128 位元的最低安全層次。
  • 192 指定 192 位元的最低安全層次。
  • false 指定系統與 Suite B 不相容。這是預設值。
當您選取 com.ibm.jsse2.suiteB 系統內容時,IBMJSSE2 會確保符合指定的安全層次。 IBMJSSE2 會驗證通訊協定、金鑰與憑證符合要求的設定檔。

程序

  1. 在編輯器中開啟 Apache Tomcat 啟動 Script 檔,並針對 SSL 通訊協定、位元層次和密碼組合新增參數。在 com.ibm.jsse2.usefipsprovider 項目中,新增下列參數的項目:
    參數
    https.protocols 設為 TLSv1.2
    com.ibm.jsse2.suiteB 設為 128192
    https.cipherSuites 輸入支援的密碼組合。這個參數會限制遠端服務送出要求所使用的密碼。這些密碼組合必須相容於設定給遠端伺服器的密碼組合。
    • 在 Windows 系統中,server.start.bat Script 檔是在 Rational DOORS Web Access 安裝目錄中; 例如 C:\Program Files\IBM\Rational\DOORS Web Access\version。本範例包含 SSL 通訊協定和相符性層次參數的最小必要值,以及支援的密碼組合範例:
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
      重要: 如果檔案包含 com.ibm.jsse2.sp800-131 內容,請移除該內容。
    • 在 Linux 系統中,server.start.sh Script 檔位於 Rational DOORS Web Access 安裝目錄。本範例包含 SSL 通訊協定和相符性層次參數的最小必要值,以及支援的密碼組合範例:
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      export JAVA_OPTS
      重要: 如果檔案包含 com.ibm.jsse2.sp800-131 內容,請移除該內容。
  2. 在編輯器中開啟 Apache Tomcat server.xml 檔案。 該檔案位於 Rational DOORS Web Access 安裝中的 server/conf 目錄;例如: C:\Program Files\IBM\Rational\DOORS Web Access\9.version\server\conf
  3. sslProtocol 值設定為 TLS 1.2;例如:
    sslProtocol="TLSv1.2"
  4. 將密碼組合設為符合 Suite B 的密碼。這個項目的值必須符合伺服器啟動 Script 中之 https.cipherSuites 參數內使用的值,如步驟 1 的說明;例如:
    ciphers="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
    請確定 Secure Sockets Layer (SSL) 配置為只使用通過 Suite B 相符性核准的密碼組合。

下一步

更新用戶端瀏覽器以支援 TLS 1.2。

確保用戶端與伺服器憑證經過適當簽署。 檢查金鑰儲存庫中的金鑰。


意見