Rational DOORS Web Access можно настроить для взаимодействия с использованием защищенных сокетов в соответствии с требованиями
стандарта Special Publication (SP) 800-131A национального института стандартов и технологий (NIST).
В этом стандарте указаны алгоритмы,
которые следует использовать для укрепления защиты, и минимальные длины
криптографических ключей, которых требуют алгоритмы.
Об этой задаче
Для того чтобы настроить Rational DOORS Web Access для
соответствия SP 800-131A, необходимо изменить значения параметров конфигурации
сервера Apache Tomcat для отклонения запросов, сертификаты которых не
отвечают требованиям минимальной длины ключа шифрования. Вы должны пользоваться провайдером защиты, который отвечает FIPS
140-2, и настроить его системные свойства для работы в режиме SP
800-131A. Эта конфигурация гарантирует, что вы
используете надлежащие протоколы и комплекты шифров.
Для строгого
соответствия также проверяются надежность ключей и алгоритмы подписания. Строгое соответствие предусматривает использование только
протокола TLS 1.2. Вы должны обеспечить соответствие сертификатов, ключей и
генератора секретного случайного числа, если указан, стандарту SP
800-131A.
Важное замечание: Если указан протокол TLS версии 1.2, обратитесь к документации
вендора, чтобы определить, поддерживается ли она браузером.
Для настройки Rational DOORS Web Access для соответствия NIST SP
800-131A выполните следующие действия:
- Включите системное свойство, задающее режим SP 800-131A.
- Измените конфигурацию сервера Apache Tomcat для принятия только определенных
протоколов и комплектов шифров.
- Обеспечьте соответствие криптографических ключей требованию к минимальной криптографической
стойкости (112 бит).
- Используйте цифровые подписи, использующие по крайней мере алгоритм SHA2.
Процедура
- Откройте файл сценария запуска Apache Tomcat в редакторе.
- В системах Windows файл сценария server.start.bat
находится в каталоге установки Rational DOORS Web Access. Пример:
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1.
В нижней части файла после записи Dcom.ibm.jsse2.usefipsprovider
добавьте запись set JAVA_OPTS для Dcom.ibm.jsse2.sp800-131.
Затем убедитесь, что записи выглядят так:
set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true
set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
cd %CATALINA_HOME%\bin
call ".\startup.bat"
- В системах UNIX файл сценария server.start.sh
находится в каталоге установки Rational DOORS Web Access. Добавьте
запись JAVA_OPTS для Dcom.ibm.jsse2.sp800-131 после
записи JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true.
Затем убедитесь, что записи выглядят следующим образом, где com.ibm.jsse2.sp800-131
может иметь либо значение transition, либо значение strict:
JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true
JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict
export JAVA_OPTS
Для строгого
соответствия также проверяются надежность ключей и алгоритмы подписания. Строгое соответствие предусматривает использование только
протокола TLS 1.2.
Вы должны обеспечить соответствие сертификатов, ключей и
генератора секретного случайного числа, если указан, стандарту SP
800-131A.
Смена - это период смены, определенный стандартом SP 800-131A с
сегодняшнего дня до конца 2013 года. Период смены - это период отсрочки, во время которого
можно произвести обновление до новых минимальных криптографических требований.
- Сохраните и закройте файл.
- Откройте файл Apache Tomcat server.xml
в редакторе. Этот файл находится в подкаталоге server/conf каталога установки Rational DOORS Web Access. Пример:
C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
- Присвойте параметру sslProtocol значение
минимальной версии TLS, которое определяется значением системного свойства
com.ibm.jsse2.sp800-131. Пример:
sslProtocol="TLSv1.2"
- Укажите комплекты шифров, совместимые со SP 800-131A. Пример:
ciphers="SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA256"
Убедитесь, что Secure Sockets Layer (SSL) настроен для
использования только утвержденных для SP 800-131A комплектов шифров. Список комплектов шифров можно найти по расположенной ниже ссылке "Комплекты шифров IBM® JSSE2" в разделе ссылок на связанную информацию.
Дальнейшие действия
Обновите клиентские браузеры до версий, поддерживающих
минимальную версию TLS. Минимальная версия TLS определяется значением, которое присвоено
свойству sslProtocol из файла
server.xml.
Сертификаты клиентов и серверов, в том числе корневые и промежуточные,
должны иметь длину по крайней мере 112 бит и должны быть надлежащим образом
подписаны, как определено в этой процедуре. Проверьте ключи в хранилищах ключей
и доверенные сертификаты в доверенных хранилищах.
См. Настройка соответствия NIST SP 800-131A для сервера базы данных и клиента.