在 Rational DOORS Web Access 中配置对 NIST SP 800-131A 的合规性

可以配置 IBM® Rational® DOORS® Web Access 以通过符合美国国家标准技术学会 (NIST) 特殊出版物 (SP) 800-131A 标准的安全套接字进行通信。该标准指定了用于增强安全性的算法以及该算法所需要的最小加密强度。

开始之前

配置 Rational DOORS Web Access 以符合联邦信息处理标准 (FIPS) 140-2

关于此任务

要将 Rational DOORS Web Access 配置为符合 SP 800-131A,需要修改 Apache Tomcat 服务器配置值,以拒绝不满足所需最小加密强度的证书。必须使用遵循 FIPS 140-2 的安全提供程序,并且必须将其系统属性配置为以 SP 800-131A 方式运行。该配置确保用户在使用正确的协议和密码套件。

对于严格合规性,还将验证密钥强度和签名算法。严格合规性仅允许 TLS 1.2 协议。必须确保证书、密钥和安全随机数字生成器(如果已指定)均符合 SP 800-131A。

要点: 如果您指定 TLS 1.2 协议,请参阅供应商文档来确定浏览器是否支持该版本。

当启用 Rational DOORS Web Access 支持严格方式下的 SP800-131A 时,还必须将所有远程服务配置为支持 SP 800-131A 严格方式。如果远程服务不支持 SP 800-131A 严格方式的最低需求,那么针对该服务的任何请求都将失败。

Rational DOORS Web Access 配置为符合 NIST SP 800-131A 涉及以下步骤:
  • 在 Apache Tomcat 启动脚本中,设置指定 SSL 协议和 SP 800-131A 方式的系统参数。设置密码套件参数以限制远程服务的传出请求。
  • 修改 Apache Tomcat 服务器配置以仅接受特定协议和密码套件。
  • 确保密钥符合最小密钥强度 112 位。
  • 确保数字签名至少为 SHA2 和 2048 位。

过程

  1. 在编辑器中打开 Apache Tomcat 启动脚本文件并添加 SSL 协议、SP 800-131A 一致性级别和密码套件的参数。在为 FIPS 140-2 添加的 com.ibm.jsse2.usefipsprovider 条目处,为以下参数添加 JAVA_OPTS 条目:
    参数
    https.protocols 设置为 TLSv1.2。协议必须符合远程服务器上支持的协议。
    com.ibm.jsse2.sp800-131 设置为 strict
    https.cipherSuites 输入受支持的密码套件。该参数限制了传出请求用于远程服务的密码。这些密码套件必须与为远程服务器设置的密码套件保持一致。
    • 在 Windows 系统上,server.start.bat 脚本文件位于 Rational DOORS Web Access 安装目录中;例如 C:\Program Files \IBM\Rational\DOORS Web Access\version。 该示例包含了 SSL 协议和一致性级别参数所需的值,以及受支持密码套件的示例:
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, 
      SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • 在 Linux 系统上,server.start.sh 脚本文件位于 Rational DOORS Web Access 安装目录中。该示例包含了 SSL 协议和一致性级别参数所需的值,以及受支持密码套件的示例:
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_DSS_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      export JAVA_OPTS

    对于严格合规性,还将验证密钥强度和签名算法。严格合规性仅允许 TLS 1.2 协议。必须确保证书、密钥和安全随机数字生成器(如果已指定)均符合 SP 800-131A。

  2. 保存并关闭文件。
  3. 在编辑器中打开 Apache Tomcat 的 server.xml 文件。 该文件位于 Rational DOORS Web Access 安装中的 server/conf 目录中;例如 C:\Program Files \IBM\Rational\DOORS Web Access\version\server\conf
  4. 在 HTTPS 连接程序部分中,将 sslProtocolsslEnabledProtocols 值设置为 TLS 最低版本,TLS 最低版本是基于 com.ibm.jsse2.sp800-131 系统属性值确定的值;例如:
    sslProtocol="TLSv1.2"sslEnabledProtocols="TLSv1.2"
      
    关于 HTTPS 连接程序部分的更多信息,请参阅配置 Rational DOORS Web Access 以使用 SSL 或 TLS
  5. 设置密码套件以进一步限制服务器将接受的内容。该条目的值必须与在服务器启动脚本的 https.cipherSuites 参数中使用的值匹配,如步骤 1 中所述;例如:
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    确保安全套接字层 (SSL) 配置为仅将批准的密码套件用于 SP 800-131A。有关密码套件的列表,请参阅相关信息中的“IBM JSSE2 密码套件”。

下一步做什么

将客户机浏览器更新为支持 TLS 最低版本的某个版本。TLS 最低版本是由 server.xml 文件中的 server.xml sslProtocol 属性中指定的值来确定。

确保客户机和服务器证书(包括根证书和中间证书)至少为 112 位,并且正确进行了签名(如该过程中所定义的)。检查密钥库中的密钥和信任库中的可信证书。

请参阅Rational DOORS 数据库服务器和客户机中配置 NIST SP 800-131A 的合规性


反馈