在資料庫伺服器和用戶端中配置 NIST SP 800-131A 的相符性

您可以配置 Rational® DOORS® 資料庫伺服器和用戶端,使其在通訊時使用符合「國家標準與技術機構特殊出版品 (NIST SP) 800-131A」標準的安全 Socket。

開始之前

先備份電腦登錄,然後再執行這個程序。

關於這項作業

NIST SP 800-131A 標準指定用來加強安全和加密強度演算法。在嚴格模式下,所有通訊都必須符合 SP 800-131A。例如,如果 Rational DOORS 用戶端沒有使用嚴格模式,但 Rational DOORS 伺服器有使用,伺服器將無法使用憑證登入來鑑別使用者。嚴格模式需要傳輸層安全 (TLS) 1.2 通訊協定和 SHA2 憑證。如果要加強嚴格模式, 您可能需要檢查完整的憑證鏈(而不單是結束憑證)中是否有 SHA2 憑證。

這項配置是選用的。它可能影響效能,並且可能需要新憑證。

重要: 如果在登錄中輸入的設定組合無效,資料庫伺服器可能會以 Windows 服務形式啟動,但是用戶端無法連接伺服器,並且無法使用「服務控制」畫面來停止服務。您可以使用「工作管理員」來停止 doorsd.exe 程序。
註: 如果您想在 Rational DOORS 用戶端中使用嚴格 (SP800-131A) 加密,您必須將 Internet Explorer 設定為使用 TLS 1.2 版。只有 Internet Explorer 第 8 版以及更新版本才支援 TLS 1.2 版。在 Internet Explorer 中,選取「工具 > 網際網路選項」。在「進階」標籤中,捲動到「安全」區段,並標示 TLS 1.2 勾選框。
表 1. 指令行切換參數
切換參數 說明
-sp800-131 單獨使用這項切換參數時,它會施行嚴格相符性。如果要加強這個切換參數,請使用其他的選用切換參數。
-strictSha2 這個選項會加強嚴格模式,它需要檢查完整的憑證鏈(而不單是結束憑證)中是否有 SHA2 憑證。舉例來說,如果 Rational DOORS 伺服器使用 SHA2 憑證,並且具有 SHA1 根憑證,則只有在使用 SP 800-131A 時,該伺服器才會在安全模式下啟動。不過,如果同時指定了 SP 800-131A 和 strictSha2,則伺服器無法在安全模式下啟動。

程序

如果要配置 Rational DOORS 用戶端和資料庫伺服器, 以符合 NIST SP 800-131A,請執行下列動作:

  1. 開啟指令行,啟動資料庫伺服器,並使用 doorsd 指令,輸入表格中的選項。例如:
    doorsd -sp800-131 -strictSha2
  2. 從指令行,啟動用戶端,並使用 doors 指令,輸入表格中的選項。例如:
    doors -sp800-131 -strictSha2
  3. 開啟您的電腦登錄,然後導覽致這個區段: HKEY_LOCAL_MACHINE\SOFTWARE\Telelogic\DOORS\9.6\Config
  4. 新增這些字串值至這個區段,並搭配對應的值資料:
    表 2. 登錄值和資料
    String value 值資料
    allowSha1 true
    sp800-131 true
    certName <認證名稱>*
    *certName 字串值可在安全鑑別期間使用憑證來識別伺服器時,用來識別憑證的標籤。 預設標籤是 IBMSV1
  5. 停止 Rational DOORS 資料庫伺服器,然後再啟動。

意見