在 Rational DOORSWeb Access 中配置对 NSA Suite B Cryptography 的合规性

可以配置 Rational® DOORS® Web Access 以通过符合美国安全局 (NSA) Suite B Cryptography 准则的安全套接字进行通信。Suite B 准则增强了现有符合 FIPS-2 和 SP 800-131A 的策略。

开始之前

配置 Rational DOORS Web Access 代理程序,这是 Apache 活动的消息队列的改编版本。请参阅 Rational DOORS Web Access 的安装先决条件

关于此任务

要将 Rational DOORS Web Access 配置为符合 Suite B,需要修改 Apache Tomcat 服务器配置值,以拒绝不满足所需最小加密强度的证书。

必须使用符合 FIPS 140-2 的安全提供程序,并且必须将其系统属性配置为以 Suite B 方式运行。该配置确保用户在使用正确的协议和密码套件。Suite B 合规性仅允许 TLS 1.2 协议。必须确保证书、密钥和安全随机数字生成器(如果已指定)均符合 Suite B。

要点: 如果您指定 TLS 1.2 协议,请参阅供应商文档来确定浏览器是否支持该版本。
要将 Rational DOORS Web Access 配置为符合 Suite B:
  • 在启动脚本文件中设置用于指定 Suite B 方式的系统属性。
  • 修改 Apache Tomcat 服务器配置以仅接受 TLS 1.2 协议和受支持的密码套件。
  • 确保密钥符合所需的最小强度。
  • 确保数字签名符合所需的最小强度。
如果使用 TLS 和最低安全级别 128 位将某个系统配置为符合 Suite B,那么该系统必须将 TLS 1.2 以及 ECDSA-256 或 ECDSA-384 用于客户机或服务器认证。为支持 Suite B 概要文件,提供了以下系统属性:
com.ibm.jsse2.suiteB=128|192|false
该系统属性具有以下参数:
  • 128 指定最低 128 位安全级别。
  • 192 指定最低 192 位安全级别。
  • false 指定系统不符合 Suite B。该值是缺省值。
设置 com.ibm.jsse2.suiteB 系统属性时,IBMJSSE2 确保符合指定的安全级别。 IBMJSSE2 验证协议、密钥和证书是否符合请求的概要文件。

过程

  1. 在编辑器中打开 Apache Tomcat 启动脚本文件。
    • 在 Windows 系统上,server.start.bat 脚本文件位于 Rational DOORS Web Access 安装目录中;例如 C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1。 在文件底部附近,在 Dcom.ibm.jsse2.usefipsprovider 的条目后面,为 Dcom.ibm.jsse2.suiteB 添加 set JAVA_OPTS 条目。 然后,确保条目显示如下:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
      要点: 如果该文件中包含 Dcom.ibm.jsse2.sp800-131 属性,则移除该属性。
    • 在 UNIX 上,server.start.sh 脚本文件位于 Rational DOORS Web Access 安装目录中。 在 JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 条目后面,为 Dcom.ibm.jsse2.suiteB 添加 JAVA_OPTS 条目。 然后,确保条目显示如下:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128
      
      export JAVA_OPTS
      要点: 如果该文件中包含 Dcom.ibm.jsse2.sp800-131 属性,则移除该属性。
  2. 在编辑器中打开 Apache Tomcat 的 server.xml 文件。该文件位于 Rational DOORS Web Access 安装中的 server/conf 目录中;例如 C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  3. sslProtocol 值设置为 TLS 1.2;例如:
    sslProtocol="TLSv1.2"
  4. 将密码套件设置为符合 Suite B 的密码;例如:
    ciphers="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
    确保安全套接字层 (SSL) 配置为仅使用经过批准的密码套件以符合 Suite B。

下一步做什么

更新客户机浏览器以支持 TLS 1.2。

确保客户机和服务器证书正确签名。检查密钥库中的密钥。


反馈