在数据库服务器和客户机中配置 NIST SP 800-131A 的合规性

可以配置 Rational® DOORS® 数据库服务器和客户机以通过符合美国国家标准技术学会特殊出版物 (NIST SP) 800-131A 标准的安全套接字进行通信。

开始之前

在进行该过程前,请将您的计算机注册表备份。

关于此任务

NIST SP 800-131A 标准指定用于加强安全性和加密强度的算法。在严格方式下,所有通信都必须遵循 SP 800-131A。例如,如果 Rational DOORS 客户机不适应严格方式但 Rational DOORS 服务器使用严格方式,那么服务器无法使用证书登录来认证用户。严格方式需要传输层安全性 (TLS) 1.2 协议和 SHA2 证书。要加强严格方式,您可以需要针对 SHA2 证书检查完整证书链(而不仅仅是结束证书)。

此配置是可选的。它可能会影响性能,并且可能需要新的证书。

要点: 如果在注册表中输入了无效设置组合,那么数据库服务器可能显示为作为 Windows 服务启动,但客户机无法连接到服务器,而且服务器无法通过使用“服务”控制面板来停止。您可以使用任务管理器停止 doorsd.exe 进程。
注: 如果想要在 Rational DOORS 客户机中使用严格 (SP800-131A) 加密,必须将 Internet Explorer 设置为使用 TLS v1.2。仅 Internet Explorer v8 和更高版本支持 TLS v1.2。在 Internet Explorer 中,选择“工具 -> Internet 选项”。在“高级”选项卡上,滚动到“安全性”部分并选中 TLS 1.2 复选框。
表 1. 命令行开关
开关 描述
-sp800-131 单独使用该开关时,它将强制实施严格合规性。要加强该开关,使用其他可选开关。
-strictSha2 该选项增强严格方式,它要求针对 SHA2 证书检查完整证书链(而不仅仅是结束证书)。例如,如果仅使用 SP 800-131A,那么使用具有 SHA1 根的 SHA2 证书的 Rational DOORS 服务器可在安全方式下启动。但如果同时指定了 SP 800-131A 和 strictSha2,那么服务器无法以安全方式启动。

过程

要配置 Rational DOORS 客户机和数据库服务器以符合 NIST SP 800-131A:

  1. 打开命令行并启动数据库服务器,然后使用 doorsd 命令从表输入选项。例如:
    doorsd -sp800-131 -strictSha2
  2. 从命令行,启动客户机并使用 doors 命令从表输入选项。例如:
    doors -sp800-131 -strictSha2
  3. 打开计算机注册表然后浏览至该部分: HKEY_LOCAL_MACHINE\SOFTWARE\Telelogic\DOORS\9.6\Config
  4. 将这些字符串值与相应值数据添加至该部分:
    表 2. 注册表值和数据
    字符串值 值数据
    allowSha1 true
    sp800-131 true
    certName <证书名称>*
    *certName 字符串值标识用于在安全认证期间标识服务器的证书的标签。缺省标签为 IBMSV1
  5. 停止并启动 Rational DOORS 数据库服务器。

反馈