Настройка соответствия NIST SP 800-131A для сервера базы данных и клиента

Сервер базы данных и клиент Rational DOORS можно настроить для взаимодействия с использованием защищенных сокетов в соответствии с требованиями стандарта Special Publications (SP) 800-131A национального института стандартов и технологий (NIST).

Прежде чем начать

Перед выполнением этой процедуры создайте резервную копию реестра компьютера.

Об этой задаче

В стандарте NIST SP 800-131A указаны алгоритмы, которые следует использовать для укрепления защиты, и значения длины криптографических ключей. В строгом режиме все операции обмена данными должны соответствовать требованиям стандарта SP 800-131A. Например, если клиент Rational DOORS не использует строгий режим, то сервер Rational DOORS, работающий в строгом режиме, не сможет выполнить идентификацию пользователей с помощью сертификата. В строгом режиме требуется протокол Transport Layer Security (TLS) 1.2 и сертификаты SHA2. Для усиления строгого режима можно разрешить проверку SHA2 всей цепочки сертификатов, а не только конечного сертификата.

Эта необязательная конфигурация. Она может вызывать снижение производительности и потребовать получения новых сертификатов.

Важное замечание: Если в реестре указана недопустимая комбинация параметров, то сервер базы данных может отображаться как запущенная служба Windows, однако клиенты не смогут подключаться к серверу и службу нельзя будет остановить с помощью с помощью панели управления Службы. Процесс doorsd.exe можно остановить с помощью диспетчера задач.
Прим.: Для применения строгого шифрования (SP800-131A) в клиенте Rational DOORS необходимо настроить Internet Explorer для применения TLS v1.2. Поддержка TLS v1.2 доступна только в Internet Explorer v8 и более поздних версий. В Internet Explorer выберите Сервис > Свойства обозревателя. На вкладке Дополнительно найдите раздел Защита и включите переключатель TLS 1.2.
Табл. 1. Параметры командной строки
Ключ Описание
-sp800-131 Позволяет включить строгое соответствие. Этот параметр можно усилить с помощью дополнительного параметра.
-strictSha2 Позволяет усилить строгий режим за счет проверки SHA2 для всей цепочки сертификатов, а не только конечного сертификата. Например, сервер Rational DOORS, использующий сертификат SHA2 с корневым объектом SHA1, можно запустить в защищенном режиме только в случае применения SP 800-131A. Однако если указаны параметры SP 800-131A и strictSha2, то сервер нельзя запустить в защищенном режиме.

Процедура

Для настройки клиента и сервера базы данных Rational DOORS с учетом требований NIST SP 800-131A выполните следующие действия:

  1. Откройте командную строку, запустите сервер базы данных и укажите параметры из таблицы с помощью команды doorsd. Пример:
    doorsd -sp800-131 -strictSha2
  2. С помощью командной строки запустите клиента и укажите параметры команды doors из следующей таблицы. Пример:
    doors -sp800-131 -strictSha2
  3. Откройте реестр компьютера и найдите следующий раздел: HKEY_LOCAL_MACHINE\SOFTWARE\Telelogic\DOORS\9.6\Config.
  4. Добавьте следующие строки в этот раздел с соответствующими значениями:
    Табл. 2. Значения и данные реестра
    Строковое значение Значение
    allowSha1 true
    sp800-131 true
    certName <имя сертификата>*
    *Значение строки certName задает метку сертификата для идентификации сервера во время выполнения защищенной идентификации. Метка по умолчанию: IBMSV1.
  5. Перезапустите сервер базы данных Rational DOORS.

Комментарии