在 Rational DOORS Web Access 中配置 NIST SP 800-131A 相符性

您可以配置 Rational® DOORS® Web Access, 使其在通訊時使用符合「國家標準與技術機構 (NIST) 特殊出版品 (SP) 800-131A」標準的安全 Socket。該標準指定了可用來加強安全性的演算法,以及演算法所需的最低加密強度。

開始之前

配置 Rational DOORS Web Access 以符合 FIPS 140-2

關於這項作業

如果要配置 Rational DOORS Web Access 以符合 SP 800-131A, 請修改 Apache Tomcat 伺服器配置值,以便在要求中的憑證不符合所需的最低加密強度時,拒絕該要求。您必須使用符合 FIPS 140-2 的安全提供者, 並將其系統內容配置成在 SP 800-131A 模式下執行。該配置可確保您使用適當的通訊協定與密碼組合。

若為嚴格相符性,則也會驗證金鑰強度與簽章演算法。 嚴格相符性只接受 TLS 1.2 通訊協定。您必須確定憑證、金鑰及安全亂數產生器(如果有指定)均符合 SP 800-131A。

重要: 如果您指定 TLS 1.2 通訊協定, 請參照供應商的文件來判斷您的瀏覽器是否支援該版本。
如果要配置 Rational DOORS Web Access 以符合 NIST SP 800-131A,請執行下列動作:
  • 設定指定 800-131A 模式的系統內容。
  • 修改 Apache Tomcat 伺服器配置,只接受特定通訊協定與加密組合。
  • 確定加密金鑰符合最低的 112 位元金鑰強度。
  • 確定數位簽章最低為 SHA2。

程序

  1. 在編輯器中開啟 Apache Tomcat 啟動 Script 檔。
    • 在 Windows 系統中,server.start.bat Script 檔是在 Rational DOORS Web Access 安裝目錄中; 例如 C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1。接近檔案底端,在 Dcom.ibm.jsse2.usefipsprovider 項目之後,新增 set JAVA_OPTS 項目以使用 Dcom.ibm.jsse2.sp800-131。 然後確定這些項目顯示如下:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • 在 UNIX 系統中,server.start.sh Script 檔是在 Rational DOORS Web Access 安裝目錄中。 在 JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 項目後方加上 JAVA_OPTS 項目以使用 Dcom.ibm.jsse2.sp800-131。 然後確定項目顯示如下,其中 com.ibm.jsse2.sp800-131 可以設定為 transition 或 strict:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict
      
      export JAVA_OPTS

    若為嚴格相符性,則也會驗證金鑰強度與簽章演算法。 嚴格相符性只接受 TLS 1.2 通訊協定。您必須確定憑證、金鑰及安全亂數產生器(如果有指定)均符合 SP 800-131A。

    Transition 是指 SP 800-131A 所定義的過渡期間,從今天起直到 2013 年結束。過渡期間是讓您升級至新的最低加密需求的寬限期。

  2. 儲存和關閉檔案。
  3. 在編輯器中開啟 Apache Tomcat server.xml 檔案。 該檔案是在 Rational DOORS Web Access 安裝架構中的 server/conf 目錄中;例如 C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  4. sslProtocol 值設定為最低 TLS 版本,版本是依據 com.ibm.jsse2.sp800-131 系統內容值來決定; 例如:
    sslProtocol="TLSv1.2"
  5. 將密碼組合設定為符合 SP 800-131A 的密碼;例如:
    ciphers="SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA256"
    確定 Secure Sockets Layer (SSL) 配置成只使用經過 SP 800-131A 核准的密碼組合。如需密碼組合清單,請參閱下列相關資訊鏈結中的「IBM® JSSE2 密碼組合」。

下一步

更新為使用可支援最低 TLS 版本的用戶端瀏覽器。 最低 TLS 版本是由 server.xml 檔中 server.xml sslProtocol 內容指定的值來決定。

請確定包含根憑證與中繼憑證在內的用戶端與伺服器憑證最少為 112 位元,且經過適當簽署,如此程序中所定義。 檢查金鑰儲存庫中的金鑰,以及信任儲存庫中的信任憑證。

請參閱在資料庫伺服器和用戶端中配置 NIST SP 800-131A 的相符性


意見