Настройка соответствия NIST SP 800-131A для сервера базы данных и клиента

Сервер базы данных и клиент Rational DOORS можно настроить для взаимодействия с использованием защищенных сокетов в соответствии с требованиями стандарта Special Publications (SP) 800-131A национального института стандартов и технологий (NIST).

Прежде чем начать

Перед выполнением этой процедуры создайте резервную копию реестра компьютера.

Об этой задаче

В стандарте NIST SP 800-131A указаны алгоритмы, которые следует использовать для укрепления защиты, и значения длины криптографических ключей. В строгом режиме все операции обмена данными должны соответствовать требованиям стандарта SP 800-131A. Например, если клиент Rational DOORS не использует строгий режим, то сервер Rational DOORS, работающий в строгом режиме, не сможет выполнить идентификацию пользователей с помощью сертификата. В строгом режиме требуется протокол Transport Layer Security (TLS) 1.2 и сертификаты SHA2. Для усиления строгого режима можно разрешить проверку SHA2 всей цепочки сертификатов, а не только конечного сертификата.

Эта необязательная конфигурация. Она может вызывать снижение производительности и потребовать получения новых сертификатов.

Важное замечание: Если в реестре указана недопустимая комбинация параметров, то сервер базы данных может отображаться как запущенная служба Windows, однако клиенты не смогут подключаться к серверу и службу нельзя будет остановить с помощью с помощью панели управления Службы. Процесс doorsd.exe можно остановить с помощью диспетчера задач.
Прим.: Для применения строгого шифрования (SP800-131A) в клиенте Rational DOORS необходимо настроить Internet Explorer для применения TLS v1.2. Поддержка TLS v1.2 доступна только в Internet Explorer v8 и более поздних версий. В Internet Explorer выберите Сервис > Свойства обозревателя. На вкладке Дополнительно найдите раздел Защита и включите переключатель TLS 1.2.
Табл. 1. Параметры командной строки
Ключ Описание
-sp800-131 Позволяет включить строгое соответствие. Этот параметр можно усилить с помощью дополнительного параметра.
-strictSha2 Позволяет усилить строгий режим за счет проверки SHA2 для всей цепочки сертификатов, а не только конечного сертификата. Например, сервер Rational DOORS, использующий сертификат SHA2 с корневым объектом SHA1, можно запустить в защищенном режиме только в случае применения SP 800-131A. Однако если указаны параметры SP 800-131A и strictSha2, то сервер нельзя запустить в защищенном режиме.

Процедура

Для настройки клиента и сервера базы данных Rational DOORS с учетом требований NIST SP 800-131A выполните следующие действия:

  1. Откройте командную строку, запустите сервер базы данных и укажите параметры из таблицы с помощью команды doorsd. Пример:
    doorsd -sp800-131 -strictSha2
  2. С помощью командной строки запустите клиента и укажите параметры команды doors из следующей таблицы. Пример:
    doors -sp800-131 -strictSha2
  3. Откройте реестра компьютера и найдите одно из следующих расположений:
    • 64-разрядная операционная система: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Telelogic\DOORS_Server\9.6\Config
    • 32-разрядная операционная система: HKEY_LOCAL_MACHINE\SOFTWARE\Telelogic\DOORS_Server\9.6\Config
  4. Добавьте следующие строки в этот раздел с соответствующими значениями:
    Табл. 2. Значения и данные реестра
    Строковое значение Значение
    allowSha1 true
    sp800-131 true
    certName <имя сертификата>*
    *Значение строки certName задает метку сертификата для идентификации сервера во время выполнения защищенной идентификации. Метка по умолчанию: IBMSV1.
  5. Перезапустите сервер базы данных Rational DOORS.

Значок видео Смотреть видеоролики

Список воспроизведения CLM
Канал Jazz.net
Канал обучения пользователей

Значок обучения Дополнительная информация

Обучающий курс по CLM
Обучающий курс по Agile
Обучающие курсы

Значок вопроса Вопросы

Форум Jazz.net
Форумы developerWorks

Значок поддержки Получить поддержку

Портал поддержки
Вики о развертывании
Блог службы поддержки