Vous pouvez configurer le client et le serveur de base de données Rational DOORS en vue de communiquer via une connexion sécurisée conformément à la norme NIST SP (National Institute of Standards and Technology Special Publications) 800-131A.
Pourquoi et quand exécuter cette tâche
La norme NIST SP 800-131A spécifie les algorithmes
à utiliser pour renforcer la sécurité et les niveaux de chiffrement minimum
requis pour les algorithmes. Vous pouvez configurer une conformité stricte
ou transitionnelle :
- En mode strict, toutes les communications doivent être conformes à SP 800-131A. Par exemple, si le client Rational DOORS n'utilise pas le mode strict contrairement au serveur Rational DOORS, le serveur ne peut pas authentifier les utilisateurs à l'aide de la connexion par certificat. Le mode strict requiert le protocole TLS 1.2
et les certificats SHA2. Pour renforcer le mode strict, vous pouvez requérir
que la chaîne de certificats complète, et pas uniquement le certificat final,
soit vérifiée pour les certificats SHA2.
- Le mode transitionnel supprime quelques exigences SP 800-131A et autorise la
communication avec les composants et les applications utilisant les certificats SHA1
et le protocole TLS 1, TLS 1.1 ou TLS 1.2.
Cette configuration est facultative. Elle peut agir sur les performances
et nécessiter de nouveaux certificats.
Tableau 1. Options de ligne de commande
et paramètres de registreOption et paramètre de registre |
Description |
-sp800-131 |
Lorsque cette option est utilisée seule, elle impose
une conformité stricte. Pour renforcer ou affaiblir cette option, utilisez-la avec
l'une des autres options facultatives. |
-strictSha2 |
Cette option renforce le mode strict en exigeant que
la chaîne de certificats complète, et non uniquement le certificat final,
soit vérifiée pour les certificats SHA2. Par exemple, un serveur Rational DOORS qui utilise un certificat SHA2, possédant lui-même une racine SHA1, peut démarrer en mode sécurisé uniquement si la norme SP 800-131A est utilisée. Toutefois, si SP 800-131A et
strictSha2 sont spécifiés, le serveur ne peut pas démarrer en mode sécurisé. Si -allowSha1 est utilisé, cette option est ignorée. |
-allowSha1 |
Cette option du mode transitionnel autorise les connexions
effectuées avec des certificats SHA1, en plus de SHA2. |
-allowSha1 |
Cette option du mode transitionnel autorise les connexions
effectuées sur les protocoles TLS 1.0 et TLS 1.1, en plus de TLS
1.2. |
Procédure
Pour configurer le client et le serveur de base de données Rational DOORS conformément à la norme NIST SP 800-131A :
- Ouvrez une ligne de commande, puis démarrez le serveur de base de données
et entrez les options de la table à l'aide de la commande doorsd. Par exemple :
doorsd -sp800-131 -allowTls10And11 -allowSha1
- Dans la ligne de commande, démarrez le client et entrez les options
de la table à l'aide de la commande doors. Par exemple :
doors -sp800-131 -allowTls10And11 -allowSha1