在 Rational DOORS Web Access 中配置 NIST SP800-131a 相符性

您可以配置 Rational DOORS Web Access 在通訊時使用符合「NIST 特殊出版品 800-131a (SP800-13a)」標準的加密 Socket。該標準指定了可用來加強安全性的演算法,以及演算法所需的最低加密強度。

開始之前

配置 Rational DOORS Web Access 以符合 FIPS 140-2

關於這項作業

如果要配置 Rational DOORS Web Access 以符合 SP800-131a, 請修改 Apache Tomcat 伺服器配置值,拒絕含不符合最低加密強度需求之憑證的要求。 您必須使用符合 FIPS 140-2 的安全提供者,並將其系統內容配置為以 SP 800-131a 模式執行。 該配置可確保您使用適當的通訊協定與密碼組合。

若為嚴格相符性,則也會驗證金鑰強度與簽章演算法。 嚴格相符性只容許 TLS 1.2 版通訊協定。 您必須確保憑證、金鑰及加密亂數產生器(如果有指定)均符合 SP 800-131a。

重要: 如果您指定 TLS 1.2 版,請參照供應商的文件來判斷您的瀏覽器是否支援該版本。
如果要配置 Rational DOORS Web Access 以符合 NIST SP800-131a:
  • 設定指定 SP800-131a 模式的系統內容。
  • 修改 Apache Tomcat 伺服器配置,只接受特定通訊協定與加密組合。
  • 確保加密金鑰符合最低的 112 位元金鑰強度。
  • 確保數位簽章最低為 SHA2。

程序

  1. 在編輯器中開啟 Apache Tomcat 啟動 Script 檔。
    • 在 Windows 系統中,server.start.bat Script 檔是在 Rational DOORS Web Access 安裝目錄中;例如 C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1。 接近檔案底端,在 Dcom.ibm.jsse2.usefipsprovider 項目之後,新增 set JAVA_OPTS 項目以使用 Dcom.ibm.jsse2.sp800-131。 然後確定這些項目顯示如下:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • 在 UNIX 系統中,server.start.sh Script 檔是在 Rational DOORS Web Access 安裝目錄。 在 JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 項目後方加上 JAVA_OPTS 項目以使用 Dcom.ibm.jsse2.sp800-131。 然後確保項目顯示如下,其中 com.ibm.jsse2.sp800-131 可以設定為 transition 或 strict:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict
      
      export JAVA_OPTS

    若為嚴格相符性,則也會驗證金鑰強度與簽章演算法。 嚴格相符性只容許 TLS 1.2 版通訊協定。 您必須確保憑證、金鑰及加密亂數產生器(如果有指定)均符合 SP 800-131a。

    Transition 是指 SP 800-131a 所定義的轉移期間,從今天起直到 2013 年結束。 轉移期間是讓您升級至新的最低加密需求的寬限期。

  2. 儲存和關閉檔案。
  3. 在編輯器中開啟 Apache Tomcat server.xml 檔案。 該檔案室在 Rational DOORS Web Access 安裝架構中的 server/conf 目錄中;例如 C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  4. sslProtocol 值設定為最低 TLS 版本,版本是依據 com.ibm.jsse2.sp800-131 系統內容值來決定; 例如:
    sslProtocol="TLSv1.2"
  5. 將密碼組合設定為符合 SP800-131a 的密碼; 例如:
    ciphers=”SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA256”
    確保 Secure Sockets Layer (SSL) 配置為只使用經過 SP800-131a 核准的密碼組合。 如需密碼組合清單,請參閱下列相關資訊鏈結中的「IBM JSSE2 密碼組合」。

下一步

更新為使用可支援最低 TLS 版本的用戶端瀏覽器。 最低 TLS 版本是由 server.xml sslProtocol 內容中指定的值來決定。

請確保包含根憑證與中繼憑證在內的用戶端與伺服器憑證最少為 112 位元,且經過適當簽署,如此程序中所定義。 檢查金鑰儲存庫中的金鑰,以及信任儲存庫中的信任憑證。

請參閱 technote 配置 Rational DOORS 資料庫伺服器與用戶端以符合 NIST SP800-131a


意見