设置 Liberty 以在 SP800-131a 中运行
可设置 Liberty 以满足美国国家标准技术学会 (NIST) 制定的 SP800-131a 要求。
关于此任务
SP800-131a 要求更长的密钥长度和更强大的加密。该规范还提供一个配置,使用户可以移至 SP800-131a 的严格实施。该配置还使用户可以在混合使用 FIPS140-2 和 SP800-131a 中设置的情况下运行。SP800-131a 可以采用以下两种方式运行:过渡方式和严格方式。提供了过渡方式,以对用户提供一个用于将其环境改变为 SP800-131a 严格方式的设置。在过渡方式下,可以选择使用 SP800-131a 必需的证书,并将协议设置为 SP800-131a
对 Liberty 严格实施 SP800-131a 要求包括下列事项:
- 为安全套接字层 (SSL) 上下文使用 TLSv1.2 协议。
- 证书的长度必须至少为 2048。椭圆曲线 (EC) 证书要求大小至少为 244 位曲线。
- 必须使用 SHA256、SHA384 或 SHA512 签名算法为证书签名。有效的 signatureAlgorithms 包括:
- SHA256withRSA
- SHA384withRSA
- SHA512withRSA
- SHA256withECDSA
- SHA384withECDSA
- SHA512withECDSA
注: 如果使用 SHA384withECDSA 或 SHA512withECDSA,那么 IBM® JDK 要求非受限策略文件就位。 - SP800-131a 核准的密码套件。
注: 要将 Liberty 服务器配置为以
SP800-131a 方式运行,用户必须使用支持 SP800-131a 的 IBM JDK 级别运行。IBM JDK 的最低级别包括 Java™ 6 sr 10、Java 6.0.1 sr 2 或者 Java 7。
有关 SP800-131a 标准的更多信息,请参阅 National Institute of Standards and Technology。
可以按如下所示将 Liberty 配置为以 SP800-131a 严格方式或过渡方式运行: