NSA Suite B 암호화 준수를 위한 Rational DOORS Web Access 구성

국가안보국(NSA) Suite B 암호화 가이드라인을 준수하여 보안 소켓을 통해 통신하도록 IBM® Rational® DOORS® Web Access를 구성할 수 있습니다. Suite B 가이드라인은 FIPS(Federal Information Processing Standard) 140-2 및 국립표준기술연구소(NIST) SP(Special Publication) 800-131A의 준수 정책을 더욱 강화합니다.

시작하기 전에

FIPS 140-2를 준수하도록 Rational DOORS Web Access를 구성하십시오.

이 태스크 정보

Suite B를 준수하도록 Rational DOORS Web Access를 구성하기 위해, 최소한의 필수 암호화 강도를 만족시키지 않는 인증서를 사용한 요청을 거절하도록 Apache Tomcat 서버 구성 값을 수정합니다.

FIPS 140-2를 준수하는 보안 제공자를 사용하고 Suite B 모드에서 실행되도록 해당 시스템 특성을 구성해야 합니다. 이 구성은 사용자가 적절한 프로토콜 및 암호 스위트를 사용하도록 합니다. Suite B 준수에서는 TLS 1.2 프로토콜만 허용합니다. 사용자는 인증서, 키 및 보안 난수 생성기(지정된 경우)가 모두 Suite B를 준수하는지 확인해야 합니다.

중요사항: TLS 1.2 프로토콜을 지정하는 경우에는 벤더 문서를 참조하여 브라우저가 이 버전을 지원하는지 판별하십시오.
Suite B를 준수하도록 Rational DOORS Web Access를 구성하는 데는 다음 단계가 포함됩니다.
  • 시작 스크립트 파일에서 SSL 프로토콜 및 Suite B 모드를 지정하는 매개변수를 설정합니다.
  • TLS 1.2 프로토콜 및 지원되는 암호 스위트만 수락하도록 Apache Tomcat 서버 구성을 수정합니다.
  • 암호화 키가 최소 필수 키 강도를 만족시키는지 확인합니다.
  • 디지털 서명이 최소 필수 강도를 만족시키는지 확인합니다.
TLS 및 128비트 이상의 보안 레벨을 사용하는 Suite B로 구성된 시스템은 클라이언트 또는 서버 인증에 TLS 1.2, 그리고 ECDSA-256 또는 ECDSA-384 중 하나를 사용해야 합니다. Suite B 프로파일을 지원하기 위해 다음 시스템 특성이 제공됩니다.
com.ibm.jsse2.suiteB=128|192|false
이 시스템 특성에는 다음 매개변수가 있습니다.
  • 128은 128비트 이상의 보안 레벨을 지정합니다.
  • 192는 192비트 이상의 보안 레벨을 지정합니다.
  • false는 시스템이 Suite B를 준수하지 않음을 지정합니다. 이 값은 기본값입니다.
com.ibm.jsse2.suiteB 시스템 특성을 설정하면 IBMJSSE2는 지정된 보안 레벨의 준수를 보장합니다. IBMJSSE2는 프로토콜, 키 및 인증서가 요청된 프로파일을 준수하는지 유효성 검증합니다.

프로시저

  1. 편집기에서 Apache Tomcat 시작 스크립트 파일을 열고 SSL 프로토콜, 비트 레벨 및 암호 스위트에 대해 매개변수를 추가하십시오. com.ibm.jsse2.usefipsprovider 항목에서 다음 매개변수에 대한 항목을 추가하십시오.
    매개변수
    https.protocols TLSv1.2로 설정하십시오.
    com.ibm.jsse2.suiteB 128 또는 192로 설정하십시오.
    https.cipherSuites 지원되는 암호 스위트를 입력하십시오. 이 매개변수는 원격 서비스에 대한 발신 요청에 사용되는 암호를 제한합니다. 이러한 암호 스위트는 원격 서버에 설정된 암호 스위트와 호환 가능해야 합니다.
    • Windows 시스템에서 server.start.bat 스크립트 파일은 Rational DOORS Web Access 설치 디렉토리에 있습니다(예: C:\Program Files\IBM\Rational\DOORS Web Access\version). 이 예제에는 SSL 프로토콜 및 준수 레벨 매개변수의 최소 필수 값과 지원되는 암호 스위트의 예제가 포함되어 있습니다.
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
      중요사항: 파일에 com.ibm.jsse2.sp800-131 특성이 있는 경우에는 이 특성을 제거하십시오.
    • Linux 시스템에서 server.start.sh 스크립트 파일은 Rational DOORS Web Access 설치 디렉토리에 있습니다. 이 예제에는 SSL 프로토콜 및 준수 레벨 매개변수의 최소 필수 값과 지원되는 암호 스위트의 예제가 포함되어 있습니다.
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      export JAVA_OPTS
      중요사항: 파일에 com.ibm.jsse2.sp800-131 특성이 있는 경우에는 이 특성을 제거하십시오.
  2. 편집기에서 Apache Tomcat server.xml 파일을 여십시오. 이 파일은 Rational DOORS Web Access 설치 디렉토리의 server/conf 디렉토리에 있습니다. 예를 들면 다음과 같습니다. C:\Program Files\IBM\Rational\DOORS Web Access\9.version\server\conf
  3. sslProtocol 값을 TLS 1.2로 설정하십시오. 예를 들면 다음과 같습니다.
    sslProtocol="TLSv1.2"
  4. 암호 스위트를 Suite B를 준수하는 암호로 설정하십시오. 이 항목의 값은 1단계에 설명되어 있는 바와 같이 서버 시작 스크립트에 있는 https.cipherSuites 매개변수에 사용된 값과 일치해야 합니다. 예를 들면 다음과 같습니다.
    ciphers="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
    SSL(Secure Sockets Layer)이 Suite B 준수를 위해 승인된 암호 스위트만 사용하도록 구성되었는지 확인하십시오.

다음에 수행할 작업

TLS 1.2를 지원하도록 클라이언트 브라우저를 업데이트하십시오.

클라이언트 및 서버 인증서가 적절하게 서명되었는지 확인하십시오. 키 저장소에 있는 키를 확인하십시오.


비디오 아이콘 비디오 보기

CLM 재생 목록
Jazz.net 채널
User Education 채널

학습 아이콘 추가 학습

CLM 학습 서클
Agile 학습 서클
학습 서클

질문 아이콘 질문하기

Jazz.net 포럼
developerWorks 포럼

지원 아이콘 지원 받기

지원 센터 포털
배치 위키
지원 센터 블로그