將 Liberty 設定成在 SP800-131a 中執行
您可以將 Liberty 設定為符合「國家標準與技術機構 (NIST)」規定的 SP800-131a 需求。
關於這項作業
SP800-131a 要求較長的金鑰與較強的加密法。另外,這個規格還提供一項配置,讓使用者能夠移到嚴格施行的 SP800-131a。 這項配置還讓使用者能夠混合執行 FIPS140-2 和 SP800-131a 的設定。SP800-131a 可以執行兩種模式:轉移和嚴格。 轉移模式提供的設定可讓使用者將環境移到 SP800-131a 嚴格模式。 在轉移模式中,使用 SP800-131a 要求的憑證以及將通訊協定設為 SP800-131a 是選用的
在 Liberty 上嚴格施行 SP800-131a 需求包括:
- 在 Secure Sockets Layer (SSL) 環境定義上使用「傳輸層安全 (TLS) 1.2 版」通訊協定。
- 憑證長度下限是 2048。 Elliptical Curve (EC) 憑證要求至少是 244 位元的曲線。
- 憑證必須使用 SHA256、SHA384 或 SHA512 簽章演算法來簽章。
有效的 signatureAlgorithms 包括:
- SHA256withRSA
- SHA384withRSA
- SHA512withRSA
- SHA256withECDSA
- SHA384withECDSA
- SHA512withECDSA
註: 如果使用 SHA384withECDSA 或 SHA512withECDSA,必須備妥適用於 IBM® JDK 的無限制原則檔。 - SP800-131a 核准的密碼組合。
註: 如果要將 Liberty 伺服器配置成在 SP800-131a 模式下執行,使用者必須執行支援 SP800-131a 的 IBM JDK 層次。IBM JDK 的最低層次包括 Java™ 6 sr 10、Java 6.0.1 sr 2 或 Java 7。
如需 SP800-131a 標準的相關資訊,請參閱國家標準與技術機構。
您可以將 Liberty 配置成在 SP800-131a 嚴格模式或轉移模式下執行,方式如下: