Pourquoi et quand exécuter cette tâche
Pour configurer Rational DOORS Web Access conformément à Suite B, vous modifiez les valeurs de configuration du serveur Apache Tomcat de manière à rejeter les demandes dont les certificats ne satisfont pas les niveaux de chiffrement minimum requis.
Vous devez utiliser un fournisseur de sécurité
conforme à FIPS 140-2 et configurer ses propriétés système en vue d'une exécution
en mode Suite B. Cette configuration garantit que vous utilisez
le protocole et les algorithmes de cryptographie appropriés. La conformité Suite B n'autorise que le
protocole TLS 1.2. Vous devez vérifier que
les certificats, les clés et le générateur de nombres aléatoires sécurisé, le cas échéant,
sont tous conformes à Suite B.
Important : Si vous spécifiez le protocole TLS 1.2, reportez-vous à la documentation fournisseur pour déterminer si votre navigateur prend en charge cette version.
La configuration de
Rational DOORS Web Access pour la conformité à Suite B comporte les étapes suivantes :
- Dans le fichier script de démarrage, définissez les paramètres qui spécifient le protocole SSL et le mode Suite B.
- Modifiez la configuration du serveur Apache Tomcat pour accepter uniquement le protocole TLS
1.2 et les algorithmes de cryptographie pris en charge.
- Vérifiez que les clés cryptographiques adhèrent au niveau de chiffrement
minimal requis.
- Vérifiez que les signatures numériques adhèrent au niveau de chiffrement
minimal requis.
Un système configuré pour Suite B avec TLS et
un niveau minimal de sécurité de 128 bits doit utiliser TLS 1.2 et
ECDSA-256 ou ECDSA-384 pour l'authentification client ou serveur. Pour prendre en charge le profil Suite B, la propriété système suivante est fournie :
com.ibm.jsse2.suiteB=128|192|false
Cette propriété système dispose des paramètres suivants :
- 128 indique le niveau de sécurité minimal de 128 bits.
- 192 indique le niveau de sécurité minimal de 192 bits.
- false indique que le système n'est pas conforme
à Suite B. Il s'agit de la valeur par défaut.
Lorsque vous définissez la propriété système
com.ibm.jsse2.suiteB,
IBMJSSE2 vérifie le respect du niveau de sécurité spécifié. IBMJSSE2 valide la conformité du protocole, des clés et des certificats par rapport au profil requis.
Que faire ensuite
Mettez à jour les navigateurs client pour prendre en charge TLS 1.2.
Vérifiez
que les certificats client et serveur sont correctement signés. Vérifiez
les clés dans les fichiers de clés.