Rational DOORS Web Access можно настроить для взаимодействия
с использованием защищенных сокетов в соответствии со специальными
публикациями NIST 800-131a (SP800-13a). В этом стандарте указаны алгоритмы,
которые следует использовать для укрепления защиты, и минимальные длины
криптографических ключей, которых требуют алгоритмы.
Об этой задаче
Для того чтобы настроить Rational DOORS Web Access для
соответствия SP800-131a, требуется изменить значения параметров
конфигурации сервера Apache Tomcat для отклонения запросов, сертификаты
которых не отвечают требованиям относительно минимальной длины
криптографического ключа. Вы должны пользоваться провайдером защиты,
который отвечает FIPS 140-2, и настроить его системные свойства для
работы в режиме SP 800-131a. Эта конфигурация гарантирует, что вы
используете надлежащие протоколы и комплекты шифров.
Для строгого
соответствия также проверяются надежность ключей и алгоритмы подписания. Строгое
соответствие предусматривает использование только протокола TLS версии 1.2. Вы должны обеспечить
соответствие сертификатов, ключей и генератора секретного случайного числа,
если указан, стандарту SP 800-131a.
Важное замечание:
Если указана версия TLS 1.2, обратитесь к документации поставщика, чтобы
узнать, поддерживает ли ваш браузер эту версию.
Для
настройки Rational DOORS Web Access для соответствия NIST SP800-131a выполните следующие действия:
- Включите системное свойство, задающее режим SP800-131a.
- Измените конфигурацию сервера Apache Tomcat для принятия только определенных
протоколов и комплектов шифров.
- Обеспечьте соответствие криптографических ключей требованию к минимальной криптографической
стойкости (112 бит).
- Используйте цифровые подписи, использующие по крайней мере алгоритм SHA2.
Процедура
- Откройте файл сценария запуска Apache Tomcat в редакторе.
- В системах Windows файл сценария server.start.bat
находится в каталоге установки Rational DOORS Web Access. Пример:
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1.
В нижней части файла после записи Dcom.ibm.jsse2.usefipsprovider
добавьте запись set JAVA_OPTS для Dcom.ibm.jsse2.sp800-131.
Затем убедитесь, что записи выглядят так:
set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true
set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
cd %CATALINA_HOME%\bin
call ".\startup.bat"
- В системах UNIX файл сценария server.start.sh
расположен в каталоге установки Rational DOORS Web Access. Добавьте
запись JAVA_OPTS для Dcom.ibm.jsse2.sp800-131 после
записи JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true.
Затем убедитесь, что записи выглядят следующим образом, где com.ibm.jsse2.sp800-131
может иметь либо значение transition, либо значение strict:
JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true
JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict
export JAVA_OPTS
Для строгого
соответствия также проверяются надежность ключей и алгоритмы подписания. Строгое
соответствие предусматривает использование только протокола TLS версии 1.2. Вы должны обеспечить
соответствие сертификатов, ключей и генератора секретного случайного числа,
если указан, стандарту SP 800-131a.
Смена - это период смены, определенный стандартом SP 800-131a с сегодняшнего
дня до конца 2013 года. Период смены - это период отсрочки, во время которого
можно произвести обновление до новых минимальных криптографических требований.
- Сохраните и закройте файл.
- Откройте файл Apache Tomcat server.xml
в редакторе. Этот файл находится в каталоге установки Rational DOORS Web Access
в подкаталоге server/conf. Пример:
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
- Присвойте параметру sslProtocol значение
минимальной версии TLS, которое определяется значением системного свойства
com.ibm.jsse2.sp800-131. Пример:
sslProtocol="TLSv1.2"
- Укажите комплекты шрифтов, совместимые с SP800-131a.
Пример:
ciphers=”SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA256”
Убедитесь,
что Secure Sockets Layer (SSL) настроен для использования только утвержденных
для SP800-131a комплектов шрифтов. Список комплектов шрифтов можно найти по расположенной
ниже ссылке "Комплекты шрифтов IBM JSSE2" в разделе ссылок на связанную информацию.
Дальнейшие действия
Обновите клиентские браузеры до версий, поддерживающих
минимальную версию TLS. Минимальная версия TLS определяется значением,
которое присвоено системному свойству server.xml sslProtocol.
Сертификаты клиентов и серверов, в том числе корневые и промежуточные,
должны иметь длину по крайней мере 112 бит и должны быть надлежащим образом
подписаны, как определено в этой процедуре. Проверьте ключи в хранилищах ключей
и доверенные сертификаты в доверенных хранилищах.
Ознакомьтесь с комментарием
Настройка сервера и клиента баз данных Rational DOORS
для соответствия NIST SP800-131a.