Para configurar o DWA para estar em conformidade com SP 800-131A, modifique os valores de configuração do servidor Apache Tomcat para rejeitar solicitações com certificados que não atendem aos pontos fortes de criptografia mínimos necessários. Deve-se utilizar um provedor de segurança que esteja em conformidade com o FIPS 140-2 e configurar suas propriedades de sistema para executarem no modo SP 800-131A. Essa configuração assegura que você esteja usando o protocolo e os conjuntos de cifras adequados.
Para conformidade exata, os algoritmos da segurança da chave e da assinatura também são verificados. A conformidade estrita permite apenas o protocolo TLS 1.2. Deve-se assegurar-se de que os certificados, as chaves e o gerador do número aleatório seguro, se especificados, obedeçam ao SP 800-131A.
Quando o DWA está ativado para suportar o SP800-131A no modo estrito, todos os serviços remotos também devem ser configurados para suportar o modo estrito SP 800-131A. Se um serviço remoto não suportar os requisitos mínimos para o modo restrito do SP 800-131A, que solicitação pedido para esse serviço falhará.
Assegure-se de que as assinaturas digitais sejam, no mínimo, SHA2 e 2048 bits.
Atualize os navegadores clientes para um que suporte a versão mínima do TLS. A versão mínima do TLS é determinada pelo valor que é especificado na propriedade sslProtocol que está no arquivo server.xml .
Assegure-se de que os certificados de cliente e servidor, incluindo certificados raízes e intermediários, tenham pelo menos 112 bits e estejam assinados adequadamente, conforme definido neste procedimento. Verifique as chaves nos armazenamentos de chaves e os certificados confiáveis nos armazenamentos confiáveis.
Consulte Configurando a Conformidade com o NIST SP 800-131A no cliente e servidor de banco de dados DOORS..
Canal Software Education |
Skills Gateway |
Fóruns do Jazz.net Biblioteca do Jazz.net |
Wiki de implementação |