Настройка соответствия NIST SP 800-131A для сервера базы данных и клиента

Сервер баз данных и клиент IBM® Engineering Requirements Management DOORS (DOORS) можно настроить для связи с использованием защищенных сокетов в соответствии с требованиями стандарта Special Publications 800-131A Национального института стандартов и технологий (NIST SP).

Прежде чем начать

Перед выполнением этой процедуры создайте резервную копию реестра компьютера.

Об этой задаче

В стандарте NIST SP 800-131A указаны алгоритмы, которые следует использовать для укрепления защиты, и значения длины криптографических ключей. В строгом режиме все операции обмена данными должны соответствовать требованиям стандарта SP 800-131A. Например, если клиент DOORS не использует строгий режим, а сервер DOORS использует, то сервер не сможет идентифицировать пользователей при входе в систему с помощью сертификата. В строгом режиме требуется протокол Transport Layer Security (TLS) 1.2 и сертификаты SHA2. Для усиления строгого режима можно разрешить проверку SHA2 всей цепочки сертификатов, а не только конечного сертификата.

Эта необязательная конфигурация. Она может вызывать снижение производительности и потребовать получения новых сертификатов.

Важное замечание: Если в реестре указана недопустимая комбинация параметров, то сервер базы данных может отображаться как запущенная служба Windows, однако клиенты не смогут подключаться к серверу и службу нельзя будет остановить с помощью с помощью панели управления Службы. Процесс doorsd.exe можно остановить с помощью диспетчера задач.
Прим.: Для применения строгого шифрования (SP800-131A) в клиенте DOORS необходимо настроить Internet Explorer для использования TLS v1.2. Поддержка TLS v1.2 доступна только в Internet Explorer v8 и более поздних версий. В Internet Explorer выберите Сервис > Свойства обозревателя. На вкладке Дополнительно найдите раздел Защита и включите переключатель TLS 1.2.
Табл. 1. Параметры командной строки
Ключ Описание
-sp800-131 Позволяет включить строгое соответствие. Этот параметр можно усилить с помощью дополнительного параметра.
-strictSha2 Позволяет усилить строгий режим за счет проверки SHA2 для всей цепочки сертификатов, а не только конечного сертификата. Например, сервер DOORS, использующий сертификат SHA2 с корневым объектом SHA1, можно запустить в защищенном режиме только в случае применения 800-131A. Однако если указаны параметры SP 800-131A и strictSha2, то сервер нельзя запустить в защищенном режиме.

Процедура

Для настройки сервера баз данных и клиента DOORS с учетом требований NIST SP 800-131A выполните следующие действия:

  1. Откройте командную строку, запустите сервер базы данных и укажите параметры из таблицы с помощью команды doorsd. Пример:
    doorsd -sp800-131 -strictSha2
  2. С помощью командной строки запустите клиента и укажите параметры команды doors из следующей таблицы. Пример:
    doors -sp800-131 -strictSha2
  3. Откройте реестра компьютера и найдите одно из следующих расположений:
    • 64-разрядная операционная система: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Telelogic\DOORS_Server\9.6\Config
    • 32-разрядная операционная система: HKEY_LOCAL_MACHINE\SOFTWARE\Telelogic\DOORS_Server\9.6\Config
  4. Добавьте следующие строки в этот раздел с соответствующими значениями:
    Табл. 2. Значения и данные реестра
    Строковое значение Значение
    allowSha1 true
    sp800-131 true
    certName <имя сертификата>*
    *Значение строки certName задает метку сертификата для идентификации сервера во время выполнения защищенной идентификации. Метка по умолчанию: IBMSV1.
  5. Остановите и запустите сервер базы данных DOORS.

значок видео Видеозапись

Канал Jazz.net
Канал Software Education

значок обучения Курсы

Академия IoT
Шлюз навыков

значок вопроса Сообщество

Jazz.net
Форумы Jazz.net
Библиотека Jazz.net

значок поддержки Поддержка

Сообщество службы поддержки IBM
Вики о развертывании