可以配置 Rational DOORS Web Access 以通过符合美国安全局 (NSA) Suite B Cryptography 准则的安全套接字进行通信。Suite B 准则增强了现有符合 FIPS-2 和 SP800-131a 的策略。
关于此任务
要将 Rational DOORS Web Access 配置为符合 Suite B,需要修改 Apache Tomcat 服务器配置值,以拒绝不满足所需最小加密强度的证书。
必须使用符合 FIPS 140-2 的安全提供程序,并且必须将其系统属性配置为以 Suite B 方式运行。该配置确保用户在使用正确的协议和密码套件。Suite B 合规性仅允许 TLS V1.2 协议。必须确保证书、密钥和安全随机数字生成器(如果已指定)均符合 Suite B。
要点: 如果指定 TLS V1.2,请参阅供应商文档以确定您的浏览器是否支持该版本。
要将 Rational DOORS Web Access 配置为符合 Suite B:
- 在启动脚本文件中设置用于指定 Suite B 方式的系统属性。
- 修改 Apache Tomcat 服务器配置以仅接受 TLS V1.2 协议和受支持的密码套件。
- 确保密钥符合所需的最小强度。
- 确保数字签名符合所需的最小强度。
如果使用 TLS 和最低安全级别 128 位将某个系统配置为符合 Suite B,那么该系统必须将 TLS V1.2 以及 ECDSA-256 或 ECDSA-384 用于客户机或服务器认证。
为支持 Suite B 概要文件,提供了以下系统属性:
com.ibm.jsse2.suiteB=128|192|false
该系统属性具有以下参数:
- 128 指定最低 128 位安全级别。
- 192 指定最低 192 位安全级别。
- false 指定系统不符合 Suite B。该值是缺省值。
设置
com.ibm.jsse2.suiteB 系统属性时,IBMJSSE2 确保符合指定的安全级别。
IBMJSSE2 验证协议、密钥和证书是否符合请求的概要文件。
下一步做什么
更新客户机浏览器以支持 TLS 1.2。
确保客户机和服务器证书正确签名。检查密钥库中的密钥。