Sie können den Rational DOORS-Datenbankserver und Client für die Kommunikation über sichere Sockets und in Konformität mit dem Standard 800-131A des National Institute of Standards and Technology Special Publications (NIST SP) konfigurieren.
Informationen zu diesem Vorgang
Der Standard NIST SP 800-131A gibt Algorithmen zur Erhöhung der Sicherheit sowie die Mindestverschlüsselungsstärken an, die für die Algorithmen erforderlich sind. Sie können die Konformität im strikten oder im Übergangsmodus konfigurieren:
- Im strikten Modus muss die gesamte Kommunikation mit dem Standard SP 800-131A übereinstimmen. Wenn der Rational DOORS-Client beispielsweise im strikten Modus, der Rational DOORS-Server jedoch nicht im strikten Modus ausgeführt wird, kann der Server Benutzer nicht über die Anmeldung mit einem Zertifikat authentifizieren. Für den strikten Modus sind das TLS 1.2-Protokoll und die SHA2-Zertifikate erforderlich. Um den strikten Modus zu verstärken, können Sie verlangen, dass die vollständige Zertifikatskette und nicht nur das Endzertifikat auf SHA2-Zertifikate geprüft wird.
- Im Übergangsmodus werden einige wenige Anforderungen des Standards SP 800-131A entfernt. Dieser Modus ermöglicht die Kommunikation mit Komponenten und Anwendungen, die SHA1-Zertifikate und die TLS 1-, TLS 1.1- oder TLS 1.2-Protokolle verwenden.
Diese Konfiguration ist optional. Sie kann sich auf die Leistung auswirken. Zudem können neue Zertifikate erforderlich sein.
Tabelle 1. Befehlszeilenoptionen und Registry-EinstellungenOption und Registry-Einstellung |
Beschreibung |
-sp800-131 |
Bei ausschließlicher Verwendung dieser Option wird die strikte Konformität erzwungen. Verwenden Sie diese Option zusammen mit einer anderen optionalen Option, um sie zu verstärken oder zu verringern. |
-strictSha2 |
Diese Option verstärkt den strikten Modus, indem vorausgesetzt wird, dass die vollständige Zertifikatskette und nicht nur das Endzertifikat auf SHA2-Zertifikate geprüft wird. Ein Rational DOORS-Server, der ein SHA2-Zertifikat mit einem SHA1-Stammverzeichnis verwendet, kann beispielsweise im sicheren Modus gestartet werden, wenn nur der Standard SP 800-131A verwendet wird. Sind jedoch sowohl SP 800-131A als auch strictSha2 angegeben, kann der Server nicht im sicheren Modus gestartet werden. Bei Verwendung von -allowSha1 wird diese Option ignoriert. |
-allowSha1 |
Diese Option des Übergangsmodus ermöglicht zusätzlich zu Verbindungen über SHA2-Zertifikate auch Verbindungen über SHA1-Zertifikate. |
-allowSha1 |
Diese Option des Übergangsmodus ermöglicht zusätzlich zu Verbindungen zum TLS 1.2-Protokoll auch Verbindungen zu den TLS 1.0- und TLS 1.1-Protokollen. |
Vorgehensweise
So konfigurieren Sie den Rational DOORS-Client und Datenbankserver für die Einhaltung von NIST SP 800-131A:
- Öffnen Sie eine Befehlszeile und starten Sie den Datenbankserver. Geben Sie dann mithilfe des Befehls 'doorsd' die Optionen aus der Tabelle ein. Beispiel:
doorsd -sp800-131 -allowTls10And11 -allowSha1
- Starten Sie den Client über die Befehlszeile und geben Sie mithilfe des Befehls 'doors' die Optionen aus der Tabelle ein. Beispiel:
doors -sp800-131 -allowTls10And11 -allowSha1