データベース・サーバーおよびクライアントでの NIST SP 800-131A 準拠の構成

Rational® DOORS® データベース・サーバーおよびクライアントが、米国連邦情報・技術局の Special Publications (NIST SP) 800-131A 標準に準拠して、セキュア・ソケット上で通信するよう構成できます。

このタスクについて

NIST SP 800-131A 標準は、セキュリティー強化のために使用するアルゴリズムと、そのアルゴリズムに必要な最小暗号強度の両方を指定します。厳密に準拠するよう構成することも、暫定的に準拠するよう構成することもできます。

この構成はオプションです。この構成を使用すると、パフォーマンスに影響したり、新しい証明書が必要になったりする場合があります。

表 1. コマンド・ライン・スイッチおよびレジストリー設定
スイッチおよびレジストリー設定 説明
-sp800-131 このスイッチを単独で使用すると、厳密な準拠が強制されます。このスイッチにおける厳密性を強めたり弱めたりするには、オプションの他のスイッチの 1 つとともに使用します。
-strictSha2 このオプションは、END CERTIFICATE のみでなく証明書チェーン全体で SHA2 証明書の検査をするよう要求することによって、厳密モードを強化します。例えば、SHA1 ルートを持つ SHA2 証明書を使用する Rational DOORS サーバーは、SP 800-131A が使用されている場合にのみ、セキュア・モードで始動できます。ただし、SP 800-131A と strictSha2 の両方を指定すると、サーバーをセキュア・モードで始動できません。-allowSha1 が使用されている場合、このオプションは無視されます。
-allowSha1 この暫定モード・オプションは、SHA2 証明書以外に、SHA1 証明書を使用して確立された接続も許可します。
-allowSha1 この暫定モード・オプションは、TLS 1.2 以外に、TLS 1.0 プロトコルおよび TLS 1.1 プロトコルを使用して確立された接続も許可します。

手順

Rational DOORS クライアントおよびデータベース・サーバーが NIST SP 800-131A に準拠するよう構成するには、以下を実行します。

  1. コマンド・ラインを開いてから、データベース・サーバーを始動し、doorsd コマンドを使用してテーブルからオプションを入力します。例えば、次のようになります。
    doorsd -sp800-131 -allowTls10And11 -allowSha1
  2. コマンド・ラインから、クライアントを始動し、doors コマンドを使用してテーブルからオプションを入力します。例えば、次のようになります。
    doors -sp800-131 -allowTls10And11 -allowSha1

フィードバック