Sobre Esta Tarefa
Para configurar o Rational DOORS Web Access para obedecer ao Suite B, modifique os valores de configuração do servidor Apache Tomcat para rejeitar solicitações com certificados que não atenderem à segurança de criptografia mínima obrigatória.
Você deve usar um provedor de segurança
compatível com FIPS 140-2 e configurar suas propriedades de sistema
para executar no modo Suite B. Essa configuração assegura que você esteja usando
o protocolo e os conjuntos de cifras adequados. A conformidade do Suite B permite apenas o protocolo TLS 1.2. Você deve assegurar-se de que todos os certificados, chaves e o gerador seguro de números aleatórios, se especificados, estejam em conformidade com o Suite B.
Importante: Se você especificar o protocolo TLS 1,2, consulte a documentação do fornecedor
para determinar se seu navegador suporta essa versão.
A configuração do
Rational DOORS Web Access para obedecer ao Suite B envolve estas etapas:
- No arquivo de script de inicialização, configure os parâmetros que especificam o protocolo SSL e o modo Suite B.
- Modifique as configurações do servidor Apache Tomcat para aceitar apenas o protocolo TLS 1.2 e conjuntos de cifras suportados.
- Assegure-se de que as chaves criptográficas atendam aos requisitos de segurança mínimos necessários
da chave.
- Assegure-se de que as assinaturas digitais atendam aos requisitos mínimos de segurança
necessários.
Um sistema que é configurado para o Suite B com o TLS e um nível mínimo de segurança de 128 bits deve usar o TLS 1.2 e o ECDSA-256 ou ECDSA-384 para autenticação de cliente ou servidor. Para suportar o perfil de Suite B, a seguinte propriedade de sistema é fornecida:
com.ibm.jsse2.suiteB=128|192|false
Essa propriedade de sistema possui estes parâmetros:
- 128 especifica o nível mínimo de segurança de 128 bits.
- 192 especifica o nível mínimo de segurança de 192 bits.
- false especifica que o sistema não é compatível
com Suite B. Esse é o valor padrão.
Ao configurar a propriedade de sistema
com.ibm.jsse2.suiteB,
IBMJSSE2 garante o cumprimento de requisitos para o nível de segurança especificado. O IBMJSSE2 valida que o protocolo, as chaves e os certificados que obedecem ao perfil solicitado.
O que Fazer Depois
Atualize os navegadores clientes para suportar TLS 1.2.
Assegure-se de
que os certificados de cliente e servidor sejam assinados adequadamente. Verifique
as chaves nos armazenamentos de chaves.