Konformität mit NSA Suite B Cryptography in Rational DOORS Web Access konfigurieren

Sie können IBM® Rational DOORS Web Access so konfigurieren, dass die Kommunikation über sichere Sockets unter Einhaltung der Richtlinien für die Verschlüsselung gemäß National Security Agency (NSA) Suite B erfolgt. Die Richtlinie 'Suite B' verstärkt die Konformitätsrichtlinien für Federal Information Processing Standard (FIPS) 140-2 und National Institute of Standards and Technology (NIST) Special Publication (SP) 800-131A.

Vorbereitende Schritte

Konfigurieren Sie Rational DOORS Web Access für die Einhaltung von FIPS 140-2.

Informationen zu diesem Vorgang

Um Rational DOORS Web Access für die Einhaltung von Suite B zu konfigurieren, müssen Sie die Apache Tomcat-Serverkonfigurationswerte so ändern, dass Anforderungen mit Zertifikaten zurückgewiesen werden, die nicht den erforderlichen Mindestverschlüsselungsstärken entsprechen.

Sie müssen einen Sicherheitsprovider verwenden, der mit FIPS 140-2 konform ist, und die zugehörigen Systemeigenschaften so konfigurieren, dass die Ausführung im Suite B-Modus erfolgt. Diese Konfiguration stellt sicher, dass Sie das richtige Protokoll und die richtigen Cipher-Suites verwenden. Suite B-Konformität ist nur mit dem TLS 1.2-Protokoll möglich. Sie müssen sicherstellen, dass sowohl die Zertifikate, als auch die Schlüssel und der Zufallszahlengenerator (falls angegeben) mit Suite B konform sind.

Wichtig: Wenn Sie das TLS 1.2-Protokoll angeben, können Sie anhand der Dokumentation des Anbieters ermitteln, ob Ihr Browser diese Version unterstützt.
Die Konfiguration von Rational DOORS Web Access zur Einhaltung von Suite B umfasst die folgenden Schritte:
  • Legen Sie in der Startscriptdatei die Parameter fest, die das SSL-Protokoll und den Modus von Suite B angeben.
  • Ändern Sie die Konfiguration des Apache Tomcat-Servers so, dass nur das TLS 1.2-Protokoll und unterstützte Cipher-Suites akzeptiert werden.
  • Stellen Sie sicher, dass die Verschlüsselungsschlüssel über die erforderliche Mindestschlüsselstärke verfügen.
  • Stellen Sie sicher, dass die digitalen Signaturen über die erforderliche Mindeststärke verfügen.
Ein System, das für Suite B mit TLS und einer Mindestsicherheitsebene von 128 Bits konfiguriert ist, muss TLS 1.2 und ECDSA-256 oder ECDSA-384 für die Client- oder Serverauthentifizierung verwenden. Zur Unterstützung des Suite B-Profils wird folgende Systemeigenschaft zur Verfügung gestellt:
com.ibm.jsse2.suiteB=128|192|false
Diese Systemeigenschaft besitzt die folgenden Parameter:
  • 128 gibt die 128-Bit-Mindestsicherheitsebene an.
  • 192 gibt die 192-Bit-Mindestsicherheitsebene an.
  • false gibt an, dass das System nicht mit Suite B konform ist. Dies ist der Standardwert.
Wenn Sie die Systemeigenschaft com.ibm.jsse2.suiteB festlegen, stellt IBMJSSE2 die Einhaltung der angegebenen Sicherheitsebene sicher. IBMJSSE2 prüft, ob das Protokoll, die Schlüssel und Zertifikate mit dem angeforderten Profil konform sind.

Vorgehensweise

  1. Öffnen Sie die Datei für das Apache Tomcat-Startscript in einem Editor und fügen Sie Parameter für das SSL-Protokoll, die Bitstufe und die Cipher-Suites hinzu. Fügen Sie beim Eintrag com.ibm.jsse2.usefipsprovider für die folgenden Parameter Einträge hinzu:
    Parameter Wert
    https.protocols Legen Sie den Wert TLSv1.2 fest.
    com.ibm.jsse2.suiteB Legen Sie den Wert 128 oder 192 fest.
    https.cipherSuites Geben Sie eine unterstützte Cipher-Suite ein. Dieser Parameter beschränkt die Chiffrierwerte, die von abgehenden Anforderungen für ferne Services verwendet werden. Diese Cipher-Suites müssen mit den Cipher-Suites kompatibel sein, die für den fernen Server festgelegt sind.
    • Auf Windows-Systemen befindet sich die Scriptdatei server.start.bat im Installationsverzeichnis von Rational DOORS Web Access (z. B. C:\Program Files (x86)\IBM\Rational\DOORS Web Access\version). Das folgende Beispiel enthält die erforderlichen Mindestwerte der Parameter für das SSL-Protokoll und die Konformitätsebene sowie ein Beispiel für unterstützte Cipher-Suites:
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
      Wichtig: Wenn die Eigenschaft com.ibm.jsse2.sp800-131 in der Datei enthalten ist, entfernen Sie diese Eigenschaft.
    • Auf UNIX-Systemen befindet sich die Scriptdatei server.start.sh im Installationsverzeichnis von Rational DOORS Web Access. Das folgende Beispiel enthält die erforderlichen Mindestwerte der Parameter für das SSL-Protokoll und die Konformitätsebene sowie ein Beispiel für unterstützte Cipher-Suites:
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      export JAVA_OPTS
      Wichtig: Wenn die Eigenschaft com.ibm.jsse2.sp800-131 in der Datei enthalten ist, entfernen Sie diese Eigenschaft.
  2. Öffnen Sie die Apache Tomcat-Datei server.xml in einem Editor. Diese Datei befindet sich bei der Rational DOORS Web Access-Installation im Verzeichnis server/conf. Beispiel: C:\Program Files (x86)\IBM\Rational\DOORS Web Access\version\server\conf
  3. Legen Sie für den Wert sslProtocol TLS 1.2 fest. Beispiel:
    sslProtocol="TLSv1.2"
  4. Legen Sie für die Cipher-Suites Chiffrierwerte fest, die mit Suite B konform sind. Der Wert für diesen Eintrag muss mit dem Wert übereinstimmen, der im Parameter https.cipherSuites des Serverstartscripts verwendet wird (siehe Schritt 1). Beispiel:
    ciphers="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
    Stellen Sie sicher, dass SSL (Secure Sockets Layer) so konfiguriert ist, dass nur eine für Suite B-Konformität genehmigte Cipher-Suite verwendet wird.

Nächste Schritte

Aktualisieren Sie die Client-Browser für die Unterstützung von TLS 1.2.

Stellen Sie sicher, dass die Client- und Serverzertifikate richtig signiert sind. Prüfen Sie die Schlüssel in Keystores.


Feedback