Сервер базы данных и клиент Rational DOORS можно настроить для
взаимодействия с использованием защищенных сокетов в соответствии с
требованиями стандарта Special Publications (SP) 800-131A
национального института стандартов и технологий (NIST).
Об этой задаче
В стандарте NIST SP 800-131A указаны алгоритмы, которые следует
использовать
для укрепления защиты, и минимальные длины криптографических ключей,
которых требуют алгоритмы. Соответствие требованиям можно настроить в
строгом или промежуточном режиме:
- В строгом режиме все операции обмена данными должны
соответствовать требованиям стандарта SP
800-131A. Например, если клиент Rational DOORS не использует строгий
режим, то сервер Rational DOORS, работающий в строгом режиме, не сможет выполнить идентификацию пользователей с помощью сертификата. Строгий режим предусматривает применение протокола TLS 1.2 и
сертификатов SHA2. Для усиления строгого режима можно разрешить
проверку SHA2 всей цепочки сертификатов, а не только конечного
сертификата.
- В промежуточном режиме не действуют отдельные требования SP
800-131A и разрешен обмен данными с компонентами и приложениями,
использующими сертификаты SHA1 и протокол TLS 1, TLS 1.1 или TLS 1.2.
Эта необязательная конфигурация. Она может вызывать снижение производительности и потребовать
получения новых сертификатов.
Табл. 1. Параметры командной строки и реестраПараметры и реестр |
Описание |
-sp800-131 |
Позволяет включить строгое соответствие. Для усиления или
ослабления режима соответствия можно указать другие необязательные
параметры. |
-strictSha2 |
Позволяет усилить строгий режим за счет проверки SHA2 для
всей цепочки сертификатов, а не только конечного сертификата. Например, сервер Rational DOORS, использующий сертификат SHA2 с корневым объектом SHA1, можно запустить в защищенном режиме только в
случае применения SP 800-131A. Однако если указаны параметры SP
800-131A и strictSha2, то сервер нельзя запустить в защищенном
режиме. Этот параметр игнорируется, если указан параметр -allowSha1. |
-allowSha1 |
Параметр промежуточного режима разрешает соединения с
помощью сертификатов SHA1 в дополнение к SHA2. |
-allowSha1 |
Параметр промежуточного режима разрешает соединения по
протоколам TLS 1.0 и TLS 1.1 в дополнение к TLS 1.2. |
Процедура
Для настройки клиента и сервера базы данных
Rational DOORS с учетом требований NIST SP 800-131A выполните следующие действия:
- Откройте командную строку, запустите сервер базы данных и
укажите параметры из таблицы с помощью команды doorsd. Пример:
doorsd -sp800-131 -allowTls10And11 -allowSha1
- С помощью командной строки запустите клиента и укажите параметры
команды doors из следующей таблицы. Пример:
doors -sp800-131 -allowTls10And11 -allowSha1