在 Rational DOORS Web Access 中配置 NSA Suite B 加密法相符性

您可以配置 Rational® DOORS® Web Access, 使其在通訊時使用符合「美國國家安全局 (NSA) Suite B」加密法準則的安全 Socket。Suite B 準則強化了現有的 FIPS-2 與 SP 800-131A 相符性原則。

開始之前

配置 Rational DOORS Web Access 分配管理系統,它是經過改寫的 Apache ActiveMQ。 請參閱安裝 Rational DOORS Web Access 的必備項目

關於這項作業

如果要配置 Rational DOORS Web Access 以符合 Suite B, 請修改 Apache Tomcat 伺服器配置值,拒絕含不符合最低加密強度需求之憑證的要求。

您必須使用符合 FIPS 140-2 的安全提供者,並將其系統內容配置為以 Suite B 模式執行。 該配置可確保您使用適當的通訊協定與密碼組合。 Suite B 相符性只接受 TLS 1.2 通訊協定。您必須確保憑證、金鑰及安全亂數產生器(如果有指定)均符合 Suite B。

重要: 如果您指定 TLS 1.2 通訊協定, 請參照供應商的文件來判斷您的瀏覽器是否支援該版本。
如果要配置 Rational DOORS Web Access 以符合 Suite B,請執行下列動作:
  • 在指定 Suite B 模式的啟動 Script 檔案中設定系統內容。
  • 修改 Apache Tomcat 伺服器配置,只接受 TLS 1.2 通訊協定與支援的密碼組合。
  • 確保加密金鑰符合所需的最低金鑰強度。
  • 確保數位簽章符合所需的最低強度。
配置 Suite B 搭配 TLS 與最低 128 位元安全層次的系統必須使用 TLS 1.2 及 ECDSA-256 或 ECDSA-384, 來進行用戶端或伺服器鑑別。如果要支援 Suite B 設定檔,則須提供下列系統內容:
com.ibm.jsse2.suiteB=128|192|false
此系統內容有三個參數:
  • 128 指定 128 位元的最低安全層次。
  • 192 指定 192 位元的最低安全層次。
  • false 指定系統與 Suite B 不相容。這是預設值。
當您選取 com.ibm.jsse2.suiteB 系統內容時, IBMJSSE2 會確保符合指定的安全層次。 IBMJSSE2 會驗證通訊協定、金鑰與憑證是否符合要求的設定檔。

程序

  1. 在編輯器中開啟 Apache Tomcat 啟動 Script 檔。
    • 在 Windows 系統中,server.start.bat Script 檔是在 Rational DOORS Web Access 安裝目錄中; 例如 C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1。接近檔案底端,在 Dcom.ibm.jsse2.usefipsprovider 項目之後,新增 set JAVA_OPTS 項目以使用 Dcom.ibm.jsse2.suiteB。 然後確定這些項目顯示如下:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
      重要: 如果檔案包含 Dcom.ibm.jsse2.sp800-131 內容,請移除該內容。
    • 在 UNIX 中,server.start.sh Script 檔是在 Rational DOORS Web Access 安裝目錄中。 在 JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 項目後方加上 JAVA_OPTS 項目以使用 Dcom.ibm.jsse2.suiteB。 然後確定這些項目顯示如下:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128
      
      export JAVA_OPTS
      重要: 如果檔案包含 Dcom.ibm.jsse2.sp800-131 內容,請移除該內容。
  2. 在編輯器中開啟 Apache Tomcat server.xml 檔案。 該檔案是在 Rational DOORS Web Access 安裝架構中的 server/conf 目錄中;例如, C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  3. sslProtocol 值設定為 TLS 1.2;例如:
    sslProtocol="TLSv1.2"
  4. 將密碼組合設定為符合 Suite B 的密碼; 例如:
    ciphers="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
    請確定 Secure Sockets Layer (SSL) 配置為只使用通過 Suite B 相符性核准的密碼組合。

下一步

更新用戶端瀏覽器以支援 TLS 1.2。

確保用戶端與伺服器憑證經過適當簽署。 檢查金鑰儲存庫中的金鑰。


意見