设置 Liberty 以在 SP800-131a 中运行

可设置 Liberty 以满足美国国家标准技术学会 (NIST) 制定的 SP800-131a 要求。

关于此任务

SP800-131a 要求更长的密钥长度和更强大的加密。该规范还提供一个配置,使用户可以移至 SP800-131a 的严格实施。该配置还使用户可以在混合使用 FIPS140-2 和 SP800-131a 中设置的情况下运行。SP800-131a 可以采用以下两种方式运行:过渡方式和严格方式。提供了过渡方式,以对用户提供一个用于将其环境改变为 SP800-131a 严格方式的设置。在过渡方式下,可以选择使用 SP800-131a 必需的证书,并将协议设置为 SP800-131a

Liberty 严格实施 SP800-131a 要求包括下列事项:
  • 为安全套接字层 (SSL) 上下文使用 TLSv1.2 协议。
  • 证书的长度必须至少为 2048。椭圆曲线 (EC) 证书要求大小至少为 244 位曲线。
  • 必须使用 SHA256、SHA384 或 SHA512 签名算法为证书签名。有效的 signatureAlgorithms 包括:
    • SHA256withRSA
    • SHA384withRSA
    • SHA512withRSA
    • SHA256withECDSA
    • SHA384withECDSA
    • SHA512withECDSA
    注: 如果使用 SHA384withECDSA 或 SHA512withECDSA,那么 IBM® JDK 要求非受限策略文件就位。
  • SP800-131a 核准的密码套件。
注: 要将 Liberty 服务器配置为以 SP800-131a 方式运行,用户必须使用支持 SP800-131a 的 IBM JDK 级别运行。IBM JDK 的最低级别包括 Java™ 6 sr 10、Java 6.0.1 sr 2 或者 Java 7。

有关 SP800-131a 标准的更多信息,请参阅 National Institute of Standards and Technology

可以按如下所示将 Liberty 配置为以 SP800-131a 严格方式或过渡方式运行:

过程


用于指示主题类型的图标 任务主题

文件名:twlp_sec_nist.html