Настройка соответствия NIST SP 800-131A в DWA

IBM® Engineering Requirements Management DOORS - Web Access (DWA) можно настроить для связи с использованием защищенных сокетов в соответствии с требованием стандарта Special Publication (SP) 800-131A Национального института стандартов и технологий (NIST). В этом стандарте указаны алгоритмы, которые следует использовать для укрепления защиты, и минимальные длины криптографических ключей, которых требуют алгоритмы.

Прежде чем начать

Настройка DWA для соответствия требованиям федерального стандарта по обработке информации (FIPS) 140-2.

Об этой задаче

Для настройки DWA в соответствии с SP 800-131A требуется изменить значения параметров конфигурации сервера Apache Tomcat для отклонения запросов, сертификаты которых не отвечают требованиям минимальной длины криптографического ключа. Вы должны пользоваться провайдером защиты, который отвечает FIPS 140-2, и настроить его системные свойства для работы в режиме SP 800-131A. Эта конфигурация гарантирует, что вы используете надлежащие протоколы и комплекты шифров.

Для строгого соответствия также проверяются надежность ключей и алгоритмы подписания. Строгое соответствие предусматривает использование только протокола TLS 1.2. Вы должны обеспечить соответствие сертификатов, ключей и генератора секретного случайного числа, если указан, стандарту SP 800-131A.

Важное замечание: Если указан протокол TLS версии 1.2, обратитесь к документации вендора, чтобы определить, поддерживается ли она браузером.

Если DWA настроен для поддержки SP800-131A в строгом режиме, то все удаленные службы также должны быть настроены для поддержки строгого режима SP 800-131A. Если удаленная служба не поддерживает минимальные требования строгого режима SP 800-131A, то служба не сможет обрабатывать запросы.

Для настройки DWA для соответствия NIST SP 800-131A выполните следующие действия:
  • В сценарии запуска Apache Tomcat укажите системные параметры, указывающие протокол SSL и режим SP 800-131A. Укажите параметр комплекта шифров для ограничения исходящих запросов для удаленных служб.
  • Измените конфигурацию сервера Apache Tomcat для принятия только определенных протоколов и комплектов шифров.
  • Обеспечьте соответствие криптографических ключей требованию к минимальной криптографической стойкости (112 бит).
  • Используйте цифровые подписи, использующие по крайней мере алгоритм SHA2 и 2048 бит.

Процедура

  1. Откройте файл сценария запуска Apache Tomcat в редакторе и добавьте параметры для протокола SSL, уровня соответствия SP 800-131A и комплектов шифров. В записи com.ibm.jsse2.usefipsprovider, добавленную для FIPS 140-2, укажите записи JAVA_OPTS для следующих параметров:
    Параметр Значение
    https.protocols Укажите значение TLSv1.2. Протокол должен быть совместим с протоколами, настроенными на удаленном сервере.
    com.ibm.jsse2.sp800-131 Укажите значение strict.
    https.cipherSuites Укажите поддерживаемый комплект шифров. Этот параметр ограничивает шифры, применяемые исходящими запросами для удаленных служб. Эти комплекты шифров должны быть совместимыми с комплектами шифров, настроенными на удаленном сервере.
    • В системах Windows файл сценария server.start.bat находится в каталоге установки DWA. Пример: C:\Program Files\IBM\Rational\DOORS Web Access\версия. В следующем примере приведены требуемые значения для параметров протокола SSL и уровня соответствия, а также поддерживаемые комплекты шифров:
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, 
      SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • В системах Linux файл сценария server.start.sh расположен в каталоге установки DWA. В следующем примере приведены требуемые значения для параметров протокола SSL и уровня соответствия, а также поддерживаемые комплекты шифров:
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true" 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_DSS_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      export JAVA_OPTS

    Для строгого соответствия также проверяются надежность ключей и алгоритмы подписания. Строгое соответствие предусматривает использование только протокола TLS 1.2. Вы должны обеспечить соответствие сертификатов, ключей и генератора секретного случайного числа, если указан, стандарту SP 800-131A.

  2. Сохраните и закройте файл.
  3. Откройте файл Apache Tomcat server.xml в редакторе. Этот файл находится в установочном каталоге DWA в подкаталоге server/conf. Пример: C:\Program Files\IBM\Rational\DOORS Web Access\версия\server\conf
  4. В разделе Коннектор HTTPS присвойте параметрам sslProtocol и sslEnabledProtocols значения минимальной версии TLS, которые определяются значением системного свойства com.ibm.jsse2.sp800-131; например:
    sslProtocol="TLSv1.2"
    sslEnabledProtocols="TLSv1.2"
      
    Дополнительная информация о разделе коннектора HTTPS приведена в статье Настройка DWA для использования SSL или TLS.
  5. Укажите комплекты шифров, чтобы дополнительно ограничить шифры, принимаемые сервером. Значение этой записи должно совпадать со значением, применяемым в параметре https.cipherSuites из сценария запуска сервера (см. описание шага 1); пример:
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    Убедитесь, что Secure Sockets Layer (SSL) настроен для использования только утвержденных для SP 800-131A комплектов шифров. Список комплектов шифров можно найти по расположенной ниже ссылке "Комплекты шифров IBM JSSE2" в разделе Связанная информация.

Дальнейшие действия

Обновите клиентские браузеры до версий, поддерживающих минимальную версию TLS. Минимальная версия TLS определяется значением, которое присвоено свойству sslProtocol из файла server.xml.

Сертификаты клиентов и серверов, в том числе корневые и промежуточные, должны иметь длину по крайней мере 112 бит и должны быть надлежащим образом подписаны, как определено в этой процедуре. Проверьте ключи в хранилищах ключей и доверенные сертификаты в доверенных хранилищах.

См. Настройка соответствия NIST SP 800-131A для сервера баз данных и клиента DOORS.


значок видео Видеозапись

Канал Jazz.net
Канал Software Education

значок обучения Курсы

Академия IoT
Шлюз навыков

значок вопроса Сообщество

Jazz.net
Форумы Jazz.net
Библиотека Jazz.net

значок поддержки Поддержка

Сообщество службы поддержки IBM
Вики о развертывании