Konfigurationen der WebSphere Application Server-Sicherheitsstandards
Das Produkt WebSphere Application Server kann so konfiguriert werden, dass es mit verschiedenen Sicherheitsstandards eingesetzt werden kann. Diese werden gewöhnlich verwendet, um Sicherheitsanforderungen der Regierung einzuhalten.
- Der Federal Information Processing Standard FIPS 140-2 legt Anforderungen für Verschlüsselungsmodule fest. Die Verwendung dieses Standards kann für viele Benutzer konfiguriert sein, aber möglicherweise
ist eine Umstellung auf den neueren Standard SP800-131 oder Suite B erforderlich.
Weitere Informationen zum Standard 140-2 finden Sie auf der Website The National Institute of Standards and Technology.
Informationen für die Konfiguration von FIPS 140-2 finden Sie im Artikel FIPS-JSSE-Dateien konfigurieren.
- SP800-131 war ursprünglich eine Anforderung des National Institute of Standards and Technology (NIST),
die eine längere Schlüssellänge und stärkere Verschlüsselung erfordert. Außerdem enthält die Spezifikation eine Übergangskonfiguration, die es Benutzern ermöglicht, die Umstellung auf die strikteren
Anforderungen von SP800-131 durchzuführen.
Die Übergangskonfiguration ermöglicht Benutzern auch, die Umgebung mit gemischten Einstellungen aus
FIPS140-2 und SP800-131 zu betreiben. SP800-131 kann in zwei
Modi ausgeführt werden, transition und strict.Einige Voraussetzungen für die strikte Umsetzung des Standards SP800-131 in WebSphere Application Server sind im Folgenden aufgeführt:
- Verwendung des Protokolls TLSv1.2 für den SSL-Kontext (Secure Sockets Layer)
- Mindestzertifikatslänge von 2048. EC-Zertifikate (Elliptical Curve) erfordern eine Mindestgröße von 244-Bit-Kurven.
- Zertifikate müssen mit dem Signaturalgorithmus SHA256,
SHA384 oder SHA512 signiert werden. Die gültigen Signaturalgorithmen umfassen die folgenden Signaturen:
- SHA256withRSA
- SHA384withRSA
- SHA512withRSA
- SHA256withECDSA
- SHA384withECDSA
- SHA512withECDSA
- Genehmigte Cipher-Suites für SP800-131
Weitere Details zum Standard SP800-131 finden Sie auf der Website The National Institute of Standards and Technology.
Informationen zur Umstellung (Übergang) auf den strikten Standard SP800-131 in WebSphere Application Server finden Sie im Artikel WebSphere Application Server auf den Sicherheitsstandard SP800-131 umstellen. Informationen zur Konfiguration von SP800-131 finden Sie im Abschnitt WebSphere Application Server für strikten Modus des Standards SP800-131 konfigurieren.
- Suite B war ursprünglich eine Anforderung der National Security Agency (NSA), um eine Strategie für verschlüsselte Interoperabilität festzulegen. Dieser Standard ähnelt SP800-131, hat jedoch strengere Einschränkungen. Suite B kann in zwei Modi ausgeführt werden: 128 Bit oder 192 Bit. Die
eingeschränkte Richtliniendatei ermöglicht die Verschlüsselung für den 128-Bit-Modus und wird standardmäßig angewendet. Wenn Sie den 192-Bit-Modus verwenden, müssen Sie die
uneingeschränkte Richtliniendatei auf das JDK anwenden, damit
die stärkere Verschlüsselung, die für den 192-Bit-Modus erforderlich ist, verwendet werden kann.
In der folgenden Tabelle sind die maximalen Schlüsselgrößen aufgeführt, die die eingeschränkte Richtliniendatei für die Algorithmen IBMJCE und IBMJCECCA zulässt. Benutzer, die eine stärkere Verschlüsselung benötigen, müssen die uneingeschränkte Richtliniendatei verwenden.
Tabelle 1. Werte eingeschränkter Richtliniendateien Algorithmus Maximale Schlüsselgröße in Bit DES 64 DESede 96 RC2 128 RC4 128 RC5 128 RSA 2048 Alle anderen Algorithmen 128 Wenn Sie die uneingeschränkten Richtliniendateien anwenden möchten, müssen Sie die Dateien "US_export_policy.jar" und "local_policy.jar" aus dem Verzeichnis WAS_HOME/java/J5.0/lib/security in das Verzeichnis WAS_HOME/java/J5.0/demo/jce/policy-files/unrestricted kopieren.
Anforderungen von Suite B in WebSphere Application Server umfassen Folgendes:- Die Verwendung des Protokolls "TLSv1.2" für den SSL-Kontext
- Von Suite B genehmigte Cipher-Suites
- Zertifikate:
- Zertifikate im 128-Bit-Modus müssen mit SHA256withECDSA signiert werden.
- Zertifikate im 192-Bit-Modus müssen mit SHA384withECDSA signiert werden.
- Verschlüsselungen:
- SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384.
Informationen zur Konfiguration von Suite B finden Sie im Abschnitt "WebSphere Application Server für den Sicherheitsstandard 'Suite B' konfigurieren".
Eigenschaften zur Aktivierung der Sicherheitsstandards
Die IBM® Virtual Machine for Java (JVM) wird mit einem auf Systemeigenschaften basierenden Sicherheitsmodus ausgeführt. WebSphere Application Server legt diese Systemeigenschaften anhand von Sicherheitskonfigurationseinstellungen fest. Die Sicherheitskonfiguration kann über die Administrationskonsole oder über Scripting-Administratortasks eingerichtet werden. Wenn diese Eigenschaften direkt von einer Anwendung festgelegt werden, kann dies Auswirkungen auf die SSL-Kommunikation mit WebSphere Application Server haben.
Sicherheitsstandard | Zu aktivierende Systemeigenschaft | Gültige Werte |
---|---|---|
FIPS 140-2 | com.ibm.jsse2.usefipsprovider | true oder false |
SP800-131 | com.ibm.jsse2.sp800-131 | transition oder strict |
Suite B | com.ibm.jsse2.suiteB | 128 oder 192 |
Bei der Konfiguration von WebSphere Application Server werden diese Eigenschaften alle gelöscht, sofern sie festgelegt wurden. Anschließend werden sie entsprechend der Sicherheitskonfiguration festgelegt. WebSphere Application Server aktiviert den Sicherheitsstandard anhand der angepassten Eigenschaften, die in der Sicherheitskonfiguration festgelegt sind.
Angepasste Eigenschaften der WebSphere Application Server-Sicherheit zum Aktivieren des Sicherheitsstandards
Sicherheitsstandard | Angepasste Eigenschaften für die Sicherheit | JVM-Systemeigenschaft |
---|---|---|
FIPS 140-2 | com.ibm.security.useFips=true |
com.ibm.jsse2.usefipsprovider=true |
SP800-131 - Transition | com.ibm.security.useFips=true |
com.ibm.jsse2.sp800-131=transition |
SP800-131 – strict | com.ibm.security.useFips=true |
com.ibm.jsse2.sp800-131=strict |
Suite B 128 | com.ibm.security.useFips=true |
com.ibm.jsse2.suiteB=128 |
Suite B 192 | com.ibm.security.useFips=true |
com.ibm.jsse2.suiteB=192 |