在 Rational DOORSWeb Access 中配置对 NSA Suite B Cryptography 的合规性

可以配置 IBM® Rational® DOORS® Web Access 以通过符合美国安全局 (NSA) Suite B Cryptography 准则的安全套接字进行通信。Suite B 准则加强了联邦信息处理标准 (FIPS) 140-2 和美国国家标准技术学会 (NIST) 特殊出版物 (SP) 800-131A 的一致性策略。

开始之前

配置 Rational DOORS Web Access 以符合 FIPS 140-2

关于此任务

要将 Rational DOORS Web Access 配置为符合 Suite B,需要修改 Apache Tomcat 服务器配置值,以拒绝不满足所需最小加密强度的证书请求。

必须使用符合 FIPS 140-2 的安全提供程序,并且必须将其系统属性配置为以 Suite B 方式运行。该配置确保用户在使用正确的协议和密码套件。Suite B 合规性仅允许 TLS 1.2 协议。必须确保证书、密钥和安全随机数字生成器(如果已指定)均符合 Suite B。

要点: 如果您指定 TLS 1.2 协议,请参阅供应商文档来确定浏览器是否支持该版本。
Rational DOORS Web Access 配置为符合 Suite B 涉及以下步骤:
  • 在启动脚本文件中,设置指定 SSL 协议和 Suite B 方式的参数。
  • 修改 Apache Tomcat 服务器配置以仅接受 TLS 1.2 协议和受支持的密码套件。
  • 确保密钥符合所需的最小强度。
  • 确保数字签名符合所需的最小强度。
如果使用 TLS 和最低安全级别 128 位将某个系统配置为符合 Suite B,那么该系统必须将 TLS 1.2 以及 ECDSA-256 或 ECDSA-384 用于客户机或服务器认证。为支持 Suite B 概要文件,提供了以下系统属性:
com.ibm.jsse2.suiteB=128|192|false
该系统属性具有以下参数:
  • 128 指定最低 128 位安全级别。
  • 192 指定最低 192 位安全级别。
  • false 指定系统不符合 Suite B。该值是缺省值。
设置 com.ibm.jsse2.suiteB 系统属性时,IBMJSSE2 确保符合指定的安全级别。 IBMJSSE2 验证协议、密钥和证书是否符合请求的概要文件。

过程

  1. 在编辑器中打开 Apache Tomcat 启动脚本文件并添加 SSL 协议、位级别和密码套件的参数。在 com.ibm.jsse2.usefipsprovider 条目处,添加以下参数的条目:
    参数
    https.protocols 设置为 TLSv1.2
    com.ibm.jsse2.suiteB 设置为 128192
    https.cipherSuites 输入受支持的密码套件。该参数限制了传出请求用于远程服务的密码。这些密码套件必须与为远程服务器设置的密码套件保持一致。
    • 在 Windows 系统上,server.start.bat 脚本文件位于 Rational DOORS Web Access 安装目录中;例如 C:\Program Files \IBM\Rational\DOORS Web Access\version。 该示例包含了 SSL 协议和一致性级别参数所需的最小值,以及受支持密码套件的示例:
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
      要点: 如果 Dcom.ibm.jsse2.sp800-131 属性位于文件中,则移除该属性。
    • 在 Linux 系统上,server.start.sh 脚本文件位于 Rational DOORS Web Access 安装目录中。该示例包含了 SSL 协议和一致性级别参数所需的最小值,以及受支持密码套件的示例:
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      export JAVA_OPTS
      要点: 如果 Dcom.ibm.jsse2.sp800-131 属性位于文件中,则移除该属性。
  2. 在编辑器中打开 Apache Tomcat 的 server.xml 文件。该文件位于 Rational DOORS Web Access 安装中的 server/conf 目录中;例如 C:\Program Files\IBM\Rational\DOORS Web Access\9.version\server\conf
  3. sslProtocol 值设置为 TLS 1.2;例如:
    sslProtocol="TLSv1.2"
  4. 将密码套件设置为符合 Suite B 的密码。该条目的值必须与在服务器启动脚本的 https.cipherSuites 参数中使用的值匹配,如步骤 1 中所述;例如:
    ciphers="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
    确保安全套接字层 (SSL) 配置为仅使用经过批准的密码套件以符合 Suite B。

下一步做什么

更新客户机浏览器以支持 TLS 1.2。

确保客户机和服务器证书正确签名。检查密钥库中的密钥。


视频图标 观看视频

CLM 播放列表
Jazz.net 频道
User Education 频道

学习图标 了解更多

CLM 学习圈
Agile 学习周期
学习圈

提问图标 提问

Jazz.net 论坛
developerWorks 论坛

支持图标 获取支持

支持门户网站
Deployment wiki
支持博客