WebSphere Application Server für den Sicherheitsstandard "Suite B" konfigurieren

Sie können WebSphere Application Server für den neuen Sicherheitsstandard "Suite B" konfigurieren.

Vorbereitende Schritte

Lesen Sie den Artikel zu den Konfigurationen der Sicherheitsstandards von WebSphere Application Server, um weitere Hintergrundinformationen zu Sicherheitsstandards zu erhalten.

Informationen zu diesem Vorgang

Die National Security Agency (NSA) hat eine Strategie für die verschlüsselte Interoperabilität mit der Bezeichnung "Suite B" erstellt. Sie stellt spezifische Anforderungen an den Standard SP800-131 des National Institute of Standards and Technology (NIST).

Anforderungen für Suite B:

WebSphere Application Server muss mit den folgenden Anforderungen für Suite B kompatibel sein:
  • In der SSL-Konfiguration muss das Protokoll "TLSv1.2" verwendet werden.
  • Die Systemeigenschaft "com.ibm.jsse.suiteb" muss auf 128 oder 192 gesetzt sein.
  • Zertifikate, die im 128-Bit-Modus ausgeführt werden, müssen mit dem Signaturalgorithmus SHA256withECDSA erstellt worden sein. Zertifikate, die im 192-Bit-Modus ausgeführt werden, müssen mit dem Signaturalgorithmus SHA384withECDSA erstellt worden sein.
    Anmerkung: Für die Ausführung im 192-Bit-Modus müssen die uneingeschränkten Richtliniendateien in das JDK kopiert werden.
  • Es müssen von Suite B genehmigte Cipher-Suites verwendet werden.

Gehen Sie wie folgt vor, um den Server für den Standard "Suite B" zu konfigurieren:

Vorgehensweise

  1. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > FIPS verwalten. Damit der Modus "Suite B" ausgeführt werden kann, müssen alle Zertifikate auf dem Server, die für SSL verwendet werden, in Zertifikate umgewandelt werden, die die Anforderungen von Suite B einhalten.
  2. Klicken Sie unter "Zugehörige Elemente" auf Zertifikate konvertieren, um Zertifikate umzuwandeln.
  3. Wählen Sie im Feld "Algorithmus" das Optionsfeld mit der Beschriftung 128-Bit oder 192-Bit aus.
    Anmerkung: EC-Signaturalgorithmen (Elliptical Curve) erfordern bestimmte Größen. Deshalb müssen Sie eine Größe angeben.
  4. Klicken Sie auf Anwenden/Speichern. Wenn im Feld Nicht konvertierbare Zertifikate keine Zertifikate angezeigt werden, können Sie den Standard aktivieren.
    Wenn im Feld Nicht konvertierbare Zertifikate Zertifikate angezeigt werden, kann der Server diese Zertifikate nicht konvertieren. Sie müssen diese Zertifikate durch Zertifikate ersetzen, die den Anforderungen von Suite B entsprechen. Im Folgenden sind Gründe dafür aufgeführt, warum der Server die Zertikate nicht konvertieren kann:
    • Das Zertifikat wurde von einer Zertifizierungsstelle (CA) erstellt.
    • Das Zertifikat ist in einem schreibgeschützten Keystore enthalten.

    Nachdem die Zertifikate umgewandelt wurden, um die Spezifikationen von Suite B zu erfüllen, führen Sie die restlichen Schritte aus, um den Standard "Suite B" zu aktivieren.

  5. Klicken Sie auf Verwaltung von SSL-Zertifikaten und Schlüsseln > FIPS verwalten.
  6. Wählen Sie Suite B aktivieren: 128-Bit-Schlüssel akzeptieren für den 128-Bit-Modus oder Suite B aktivieren: 192-Bit-Schlüssel akzeptieren für den 192-Bit-Modus aus.
  7. Klicken Sie auf Anwenden/Speichern.
  8. Starten Sie die Server erneut, und synchronisieren Sie die Knoten manuell, damit der Standard "Suite B" angewendet wird.

    Nachdem diese Änderungen angewendet wurden und der Server erneut gestartet wurde, werden die SSL-Konfigurationen auf dem Server geändert, damit das Protokoll "TLSv1.2" verwendet und die Systemeigenschaft "com.ibm.jsse.suiteb" auf den gewünschten Modus von Suite B gesetzt wird. Die SSL-Konfiguration verwendet die für den Standard geeigneten SSL-Verschlüsselungen.

    Außerdem sind wsadmin-Tasks verfügbar, die den Standard "Suite B" mithilfe von Scripting aktivieren können: :
    • Überprüfen Sie den Status von Zertifikaten für den Sicherheitsstandard mithilfe der Task "listCertStatusForSecurityStandard".
    • Wandeln Sie Zertifikate für den Sicherheitsstandard mithilfe der Task "convertCertForSecurityStandard" um.
    • Aktivieren Sie den Sicherheitsstandard mithilfe der Task "enableFips".
    • Verwenden Sie die Task "getFipsInfo", um die Einstellung des Sicherheitsstandards anzuzeigen.
  9. Nachdem der Server für den strikten Modus von SP800-131 konfiguriert wurde, muss die Datei ssl.client.props geändert werden, damit der Verwaltungsclient im strikten Modus von SP800-131 ausgeführt wird. Mit dieser Änderung ist es nicht möglich, eine SSL-Verbindung zum Server herzustellen. Bearbeiten Sie die Datei ssl.client.props wie folgt:
    1. Setzen Sie die Eigenschaft "com.ibm.security.useFIPS" auf true.
    2. Fügen Sie die Eigenschaft "com.ibm.jsse.suiteb" hinzu, und setzen Sie sie auf 128 oder 192.
    3. Ändern Sie die Eigenschaft "com.ibm.ssl.protocol" in "TLSv1.2".

Nächste Schritte

Der Standard "Suite B" erfordert, dass die SSL-Verbindung das Protokoll "TLSv1.2" verwendet. Damit ein Browser auf die Administrationskonsole oder eine Anwendung zugreifen kann, muss er das Protokoll "TLSv1.2" unterstützen und zuerst dafür konfiguriert werden.

Anmerkung: Wenn die Sicherheitsstandards in einer Network-Deployment-Konfiguration aktiviert werden, können der Knoten und der Deployment Manager einen inkompatiblen Protokollstatus haben. Weil beim Konfigurieren des Sicherheitsstandards ein Neustart des Servers erforderlich ist, wird empfohlen, alle Node Agents und Server zu stoppen, den Deployment Manager jedoch aktiv zu lassen. Starten Sie den Deployment Manager erneut, nachdem die Konfiguration über die Konsole geändert wurde.

Synchronisieren Sie die Knoten manuell mit "syncNode", und starten Sie die Node Agents und Server. Sie müssen möglicherweise die Datei ssl.client.props so aktualisieren, dass sie mit dem Deployment Manager kommuniziert, um "syncNode" verwenden zu können.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_config_suiteb
Dateiname:tsec_config_suiteb.html