Настройка соответствия NIST SP 800-131A в Rational DOORS Web Access

IBM® Rational DOORS Web Access можно настроить для взаимодействия с использованием защищенных сокетов в соответствии с требованиями стандарта Special Publication (SP) 800-131A национального института стандартов и технологий (NIST). В этом стандарте указаны алгоритмы, которые следует использовать для укрепления защиты, и минимальные длины криптографических ключей, которых требуют алгоритмы.

Прежде чем начать

Настройка Rational DOORS Web Access для соответствия требованиям федерального стандарта по обработке информации (FIPS) 140-2.

Об этой задаче

Для того чтобы настроить Rational DOORS Web Access для соответствия SP 800-131A, требуется изменить значения параметров конфигурации сервера Apache Tomcat для отклонения запросов, сертификаты которых не отвечают требованиям относительно минимальной длины криптографического ключа. Вы должны пользоваться провайдером защиты, который отвечает FIPS 140-2, и настроить его системные свойства для работы в режиме SP 800-131A. Эта конфигурация гарантирует, что вы используете надлежащие протоколы и комплекты шифров.

Для строгого соответствия также проверяются надежность ключей и алгоритмы подписания. Строгое соответствие предусматривает использование только протокола TLS 1.2. Вы должны обеспечить соответствие сертификатов, ключей и генератора секретного случайного числа, если указан, стандарту SP 800-131A.

Важное замечание: Если указан протокол TLS версии 1.2, обратитесь к документации вендора, чтобы определить, поддерживается ли она браузером.

Если Rational DOORS Web Access настроен для поддержки SP800-131A в строгом режиме, то все удаленные службы также должны быть настроены для поддержки строгого режима SP 800-131A. Если удаленная служба не поддерживает минимальные требования строгого режима SP 800-131A, то служба не сможет обрабатывать запросы.

Для настройки Rational DOORS Web Access для соответствия NIST SP 800-131A выполните следующие действия:
  • В сценарии запуска Apache Tomcat укажите системные параметры, указывающие протокол SSL и режим SP 800-131A. Укажите параметр комплекта шифров для ограничения исходящих запросов для удаленных служб.
  • Измените конфигурацию сервера Apache Tomcat для принятия только определенных протоколов и комплектов шифров.
  • Обеспечьте соответствие криптографических ключей требованию к минимальной криптографической стойкости (112 бит).
  • Используйте цифровые подписи, использующие по крайней мере алгоритм SHA2 и 2048 бит.

Процедура

  1. Откройте файл сценария запуска Apache Tomcat в редакторе и добавьте параметры для протокола SSL, уровня соответствия SP 800-131A и комплектов шифров. В записи com.ibm.jsse2.usefipsprovider, добавленную для FIPS 140-2, укажите записи JAVA_OPTS для следующих параметров:
    Параметр Значение
    https.protocols Укажите значение TLSv1.2. Протокол должен быть совместим с протоколами, настроенными на удаленном сервере.
    com.ibm.jsse2.sp800-131 Укажите значение strict.
    https.cipherSuites Укажите поддерживаемый комплект шифров. Этот параметр ограничивает шифры, применяемые исходящими запросами для удаленных служб. Эти комплекты шифров должны быть совместимыми с комплектами шифров, настроенными на удаленном сервере.
    • В системах Windows файл сценария server.start.bat находится в каталоге установки Rational DOORS Web Access. Пример: C:\Program Files\IBM\Rational\DOORS Web Access\версия. В следующем примере приведены требуемые значения для параметров протокола SSL и уровня соответствия, а также поддерживаемые комплекты шифров:
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, 
      SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • В системах Linux файл сценария server.start.sh расположен в каталоге установки Rational DOORS Web Access. В следующем примере приведены требуемые значения для параметров протокола SSL и уровня соответствия, а также поддерживаемые комплекты шифров:
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true" 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_DSS_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      export JAVA_OPTS

    Для строгого соответствия также проверяются надежность ключей и алгоритмы подписания. Строгое соответствие предусматривает использование только протокола TLS 1.2. Вы должны обеспечить соответствие сертификатов, ключей и генератора секретного случайного числа, если указан, стандарту SP 800-131A.

  2. Сохраните и закройте файл.
  3. Откройте файл Apache Tomcat server.xml в редакторе. Этот файл находится в установочном каталоге Rational DOORS Web Access в подкаталоге server/conf. Пример: C:\Program Files\IBM\Rational\DOORS Web Access\версия\server\conf
  4. В разделе Коннектор HTTPS присвойте параметрам sslProtocol и sslEnabledProtocols значения минимальной версии TLS, которые определяются значением системного свойства com.ibm.jsse2.sp800-131; например:
    sslProtocol="TLSv1.2"
    sslEnabledProtocols="TLSv1.2"
      
    Дополнительная информация о коннекторе HTTPS приведена в разделе Настройка Rational DOORS Web Access для использования SSL или TLS.
  5. Укажите комплекты шифров, чтобы дополнительно ограничить шифры, принимаемые сервером. Значение этой записи должно совпадать со значением, применяемым в параметре https.cipherSuites из сценария запуска сервера (см. описание шага 1); пример:
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    Убедитесь, что Secure Sockets Layer (SSL) настроен для использования только утвержденных для SP 800-131A комплектов шифров. Список комплектов шифров можно найти по расположенной ниже ссылке "Комплекты шифров IBM JSSE2" в разделе Связанная информация.

Дальнейшие действия

Обновите клиентские браузеры до версий, поддерживающих минимальную версию TLS. Минимальная версия TLS определяется значением, которое присвоено свойству sslProtocol из файла server.xml.

Сертификаты клиентов и серверов, в том числе корневые и промежуточные, должны иметь длину по крайней мере 112 бит и должны быть надлежащим образом подписаны, как определено в этой процедуре. Проверьте ключи в хранилищах ключей и доверенные сертификаты в доверенных хранилищах.

См. Настройка соответствия NIST SP 800-131A для сервера базы данных и клиента Rational DOORS.


Значок видео Смотреть видеоролики

Список воспроизведения CLM
Канал Jazz.net
Канал обучения пользователей

Значок обучения Дополнительная информация

Обучающий курс по CLM
Обучающий курс по Agile
Обучающие курсы

Значок вопроса Вопросы

Форум Jazz.net
Форумы developerWorks

Значок поддержки Получить поддержку

Портал поддержки
Вики о развертывании
Блог службы поддержки