您可以配置 Rational® DOORS® 資料庫伺服器和用戶端,
使其在通訊時使用符合「國家標準與技術機構特殊出版品 (NIST SP) 800-131A」標準的安全 Socket。
關於這項作業
NIST SP 800-131A 標準指定了可用來加強安全的演算法,
以及演算法所需的最低加密強度。您可以將相符性配置成嚴格或過渡:
- 在嚴格模式下,所有通訊都必須符合 SP 800-131A。例如,如果 Rational DOORS 用戶端沒有使用嚴格模式,
但 Rational DOORS 伺服器有使用,
伺服器將無法使用憑證登入來鑑別使用者。嚴格模式需要 TLS 1.2 通訊協定和 SHA2 憑證。如果要加強嚴格模式,
您可能需要檢查完整的憑證鏈(而不單是結束憑證)中是否有 SHA2 憑證。
- 過渡模式會移除少數的 SP 800-131A 需求,
並容許與使用 SHA1 憑證和 TLS 1、TLS 1.1 或 TLS 1.2 通訊協定的元件和應用程式通訊。
這項配置是選用的。它可能影響效能,
並且可能需要新憑證。
表 1. 指令行切換參數和登錄設定切換參數和登錄設定 |
說明 |
-sp800-131 |
單獨使用這項切換參數時,它會施行嚴格相符性。如果要加強或減弱這項切換參數,
請將它與其他一項選用的切換參數搭配使用。 |
-strictSha2 |
這個選項會加強嚴格模式,
它需要檢查完整的憑證鏈(而不單是結束憑證)中是否有 SHA2 憑證。舉例來說,
如果 Rational DOORS 伺服器使用 SHA2 憑證,並且具有 SHA1 根憑證,
則只有在使用 SP 800-131A 時,該伺服器才會在安全模式下啟動。不過,
如果同時指定了 SP 800-131A 和 strictSha2,則伺服器無法在安全模式下啟動。如果使用 -allowSha1,就會忽略這個選項。 |
-allowSha1 |
這個過渡模式選項允許除了 SHA2 之外,
也可以使用 SHA1 憑證來連線。 |
-allowSha1 |
這個過渡模式選項允許除了 TLS 1.2 之外,
也可以使用 TLS 1.0 和 TLS 1.1 通訊協定來連線。 |
程序
如果要配置 Rational DOORS 用戶端和資料庫伺服器,
以符合 NIST SP 800-131A,請執行下列動作:
- 開啟指令行,啟動資料庫伺服器,並使用 doorsd 指令,輸入表格中的選項。例如:
doorsd -sp800-131 -allowTls10And11 -allowSha1
- 從指令行,啟動用戶端,並使用 doors 指令,輸入表格中的選項。例如:
doors -sp800-131 -allowTls10And11 -allowSha1