在 Rational DOORS Web Access 中配置 NSA Suite B 加密法相符性

您可以配置 IBM® Rational® DOORS® Web Access,使其在通訊時使用符合「美國國家安全局 (NSA) Suite B」加密法準則標準的安全 Socket。Suite B 準則可加強「聯邦資訊存取安全標準 (FIPS) 140-2」和「國家標準與技術機構 (NIST) 特殊出版品 (SP) 800-131A」的相符性原則。

開始之前

配置 Rational DOORS Web Access 以符合 FIPS 140-2

關於這項作業

如果要將 Rational DOORS Web Access 配置成符合 Suite B,請修改 Apache Tomcat 伺服器配置值,以便在要求中的憑證不符合所需的最低加密強度時,拒絕該要求。

您必須使用符合 FIPS 140-2 的安全提供者,並將其系統內容配置為以 Suite B 模式執行。 該配置可確保您使用適當的通訊協定與密碼組合。 Suite B 相符性只接受 TLS 1.2 通訊協定。您必須確保憑證、金鑰及安全亂數產生器(如果有指定)均符合 Suite B。

重要: 如果您指定 TLS 1.2 通訊協定,請參閱供應商說明文件,判斷您的瀏覽器是否支援該版本。
Rational DOORS Web Access 配置成符合 Suite B 時,所涉及的步驟如下:
  • 在啟動 Script 檔中,設定參數以指定 SSL 通訊協定和 Suite B 模式。
  • 修改 Apache Tomcat 伺服器配置,只接受 TLS 1.2 通訊協定與支援的密碼組合。
  • 確保加密金鑰符合所需的最低金鑰強度。
  • 確保數位簽章符合所需的最低強度。
配置 Suite B 搭配 TLS 與最低 128 位元安全層次的系統必須使用 TLS 1.2 及 ECDSA-256 或 ECDSA-384,來進行用戶端或伺服器鑑別。如果要支援 Suite B 設定檔,則須提供下列系統內容:
com.ibm.jsse2.suiteB=128|192|false
該系統內容具有下列參數:
  • 128 指定 128 位元的最低安全層次。
  • 192 指定 192 位元的最低安全層次。
  • false 指定系統與 Suite B 不相容。這是預設值。
當您選取 com.ibm.jsse2.suiteB 系統內容時,IBMJSSE2 會確保符合指定的安全層次。 IBMJSSE2 會驗證通訊協定、金鑰與憑證符合要求的設定檔。

程序

  1. 在編輯器中開啟 Apache Tomcat 啟動 Script 檔,並針對 SSL 通訊協定、位元層次和密碼組合新增參數。在 com.ibm.jsse2.usefipsprovider 項目中,新增下列參數的項目:
    參數
    https.protocols 設為 TLSv1.2
    com.ibm.jsse2.suiteB 設為 128192
    https.cipherSuites 輸入支援的密碼組合。這個參數會限制遠端服務送出要求所使用的密碼。這些密碼組合必須相容於設定給遠端伺服器的密碼組合。
    • 在 Windows 系統中,server.start.bat Script 檔是在 Rational DOORS Web Access 安裝目錄中; 例如 C:\Program Files\IBM\Rational\DOORS Web Access\version。本範例包含 SSL 通訊協定和相符性層次參數的最小必要值,以及支援的密碼組合範例:
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
      重要: 如果檔案包含 com.ibm.jsse2.sp800-131 內容,請移除該內容。
    • 在 Linux 系統中,server.start.sh Script 檔位於 Rational DOORS Web Access 安裝目錄。本範例包含 SSL 通訊協定和相符性層次參數的最小必要值,以及支援的密碼組合範例:
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      export JAVA_OPTS
      重要: 如果檔案包含 com.ibm.jsse2.sp800-131 內容,請移除該內容。
  2. 在編輯器中開啟 Apache Tomcat server.xml 檔案。 該檔案位於 Rational DOORS Web Access 安裝中的 server/conf 目錄;例如: C:\Program Files\IBM\Rational\DOORS Web Access\9.version\server\conf
  3. sslProtocol 值設定為 TLS 1.2;例如:
    sslProtocol="TLSv1.2"
  4. 將密碼組合設為符合 Suite B 的密碼。這個項目的值必須符合伺服器啟動 Script 中之 https.cipherSuites 參數內使用的值,如步驟 1 的說明;例如:
    ciphers="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
    請確定 Secure Sockets Layer (SSL) 配置為只使用通過 Suite B 相符性核准的密碼組合。

下一步

更新用戶端瀏覽器以支援 TLS 1.2。

確保用戶端與伺服器憑證經過適當簽署。 檢查金鑰儲存庫中的金鑰。


video icon 觀看視訊

CLM 播放清單
Jazz.net 頻道
使用者教育頻道

學習圖示 進一步瞭解

CLM 學習圈
敏捷學習圈
學習圈

提問圖示 提問問題

Jazz.net 討論區
developerWorks 討論區

支援圖示 取得支援

支援入口網站
Deployment wiki
支援中心部落格