Befehlsgruppe "FIPSCommands" für das Objekt "AdminTask"

Sie können die Scripting-Sprachen Jython oder Jacl verwenden, um Federal Information Processing Standards (FIPS) mit dem Tool "wsadmin" zu konfigurieren.

Die Befehlsgruppe "FIPSCommands" für das Objekt "AdminTask" enthält die folgenden Befehle:

enableFips

Der Befehl "enableFips" aktiviert oder inaktiviert eine angegebene Sicherheitsstufe.

Zielobjekt

Ohne.

Erforderliche Parameter

-enableFips
Wenn Sie dieses Flag auf true setzen, wird wird FIPS auf der mit anderen Parametern angegebenen Sicherheitsstufe aktiviert. Wenn Sie das Flag auf false setzen, wird FIPS inaktiviert, und die anderen Parameter werden ignoriert. Dieser Parameter wird auf den Wert der angepassten Sicherheitseigenschaft "com.ibm.security.useFIPS" gesetzt. (Boolean, erforderlich)

Optionale Parameter

-fipsLevel
Gibt die Stufe des zu verwendenden Sicherheitsstandards an. (String, optional). Es gibt keinen Standardwert. Gültige Werte:
FIPS140-2
Wenn Sie diesen Wert festlegen, wird das System so konfiguriert, dass es mit dem Modus Fips 140-2 vollständig kompatibel ist.
transition
Wenn Sie diesen Wert festlegen, wird das System so konfiguriert, dass es mit dem Modus SP800-131 - Transition vollständig kompatibel ist.
SP800-131
Wenn Sie diesen Wert festlegen, wird das System so konfiguriert, dass es mit dem Modus SP800-131 - Strict vollständig kompatibel ist.

Der angegebene Wert wird in der angepassten Sicherheitseigenschaft "com.ibm.websphere.security.FIPSLevel" gesetzt.

Die gültigen Werte sind fipsLevel und suiteBLevel.

-suiteBLevel
Gibt die Stufe für suiteBLevel an. Es gibt keinen Standardwert. Der angegebene Wert wird in der angepassten Sicherheitseigenschaft "com.ibm.websphere.security.suiteb" gesetzt. (String, optional)
Gültige Werte:
  • 128 – Wenn Sie diesen Wert setzen, wird das System so konfiguriert, dass es mit Suite B 128 kompatibel ist.
  • 192 – Wenn Sie diesen Wert setzen, wird das System so konfiguriert, dass es mit Suite B 192 kompatibel ist.
-protocol
Legt das Protokoll für die SSL-Konfiguration (Secure Sockets Layer) fest. Dieser Parameter wird nur verwendet, wenn das Flag "-fipsLevel" auf transition gesetzt ist. Für andere fipsLevels ist das SSL-Protokoll bereits durch die Spezifikation definiert. Die gültigen Werte für "transition" sind TLS, TLSv1.1 und TLSv1.2. Beachten Sie, dass in der Administrationskonsole nur TLS und TLSv1.2 als gültige Werte angezeigt werden. TLS1.1 kann in einer Befehlszeile angegeben werden. (String, optional)

Rückgabewerte:

True (Erfolg) oder false (Fehler). Wenn der Rückgabewert "false" ist, wird eine Ursache für den Fehler in System.Out.log protokolliert.

Beispiele

  • Mit Jacl (String):
    $AdminTask enableFips {-enableFips true -fipsLevel transition }
    true

getFipsInfo

Der Befehl "getFipsInfo" gibt eine Attributliste mit der FIPS-Einstellung zurück. Die Einstellungen sind fipsEnabled, fipsLevel und suiteBLevel.

Zielobjekt

Ohne

Erforderliche Parameter

Ohne.

Rückgabewert:

Der Befehl "getFipsInfo" gibt eine Attributliste mit der FIPS-Einstellung zurück. Wenn FIPS inaktiviert ist, sind fipsLevel und suiteBLevel beispielsweise leere Zeichenfolgen. Beispiel:
Tabelle 1. Sicherheitsmodus und FIPS-Stufe
Sicherheitsmodus Rückgabewerte von getFipsInfo
FIPS nicht aktiviert

fipsEnabled=false
fipsLevel=(leere Zeichenfolge)
suiteBLevel=(leere Zeichenfolge)

FIPS140-2

ipsEnabled=true
fipsLevel=FIPS140-2
suiteBLevel=(leere Zeichenfolge)

SP800-131 - Transition

fipsEnabled=true
fipsLevel=transition
suiteBLevel=(leere Zeichenfolge)

SP800-131 - Strict

fipsEnabled=true
fipsLevel=SP800-131
suiteBLevel=(leere Zeichenfolge)

Suite B 128

fipsEnabled=true
fipsLevel=(leere Zeichenfolge)
suiteBLevel=128

Suite B 192

fipsEnabled=true
fipsLevel=(leere Zeichenfolge)
suiteBLevel=192

Beispiele

  • Mit Jacl:
    $AdminTask getFipsInfo
    {fipsEnabled true} {fipsLevel SP800-131} {suiteBLevel {}}

listCertStatusForSecurityStandard

Der Befehl "listCertStatusForSecurityStandard" gibt alle Zertifikate zurück, die von der SSL-Konfiguration und von Plug-ins verwendet werden, und zeigt an, ob sie mit der angeforderten Sicherheitsstufe übereinstimmen.

Zielobjekt

Ohne

Erforderliche Parameter

Ohne.

Optionale Parameter

-suiteBLevel
Aktiviert oder inaktiviert FIPS. Es gibt keinen Standardwert. Wenn Sie das Flag auf true setzen, wird die angepasste Sicherheitseigenschaft "com.ibm.security.useFips" auf "true" gesetzt. Wenn Sie das Flag auf false setzen, wird die angepasste Sicherheitseigenschaft "com.ibm.security.useFips" auf "false" gesetzt, und die anderen Flags werden ignoriert. (String, optional)
-fipsLevel
Gibt die Stufe des zu verwendenden Sicherheitsstandards an. (String, optional). Es gibt keinen Standardwert. Gültige Werte:
FIPS140-2
Wenn Sie diesen Wert festlegen, wird das System so konfiguriert, dass es mit dem Modus Fips 140-2 vollständig kompatibel ist.
transition
Wenn Sie diesen Wert festlegen, wird das System so konfiguriert, dass es mit dem Modus SP800-131 - Transition vollständig kompatibel ist.
SP800-131
Wenn Sie diesen Wert festlegen, wird das System so konfiguriert, dass es mit dem Modus SP800-131 - Strict vollständig kompatibel ist.

Der angegebene Wert wird in der angepassten Sicherheitseigenschaft "com.ibm.websphere.security.FIPSLevel" gesetzt.

Die gültigen Werte sind fipsLevel und suiteBLevel.

-suiteBLevel
Gibt die Stufe für suiteBLevel an. Es gibt keinen Standardwert. Der angegebene Wert wird in der angepassten Sicherheitseigenschaft "com.ibm.websphere.security.suiteb" gesetzt. (String, optional)
Gültige Werte:
  • 128 – Wenn Sie diesen Wert setzen, wird das System so konfiguriert, dass es mit Suite B 128 kompatibel ist.
  • 192 – Wenn Sie diesen Wert setzen, wird das System so konfiguriert, dass es mit Suite B 192 kompatibel ist.

Rückgabewert:

Eine attributeList-Liste hat drei Schlüssel: CAN_NOT_CONVERT, CAN_CONVERT, and MEET_SECURITY_LEVEL. Für jeden Schlüssel wird eine Attributliste (attributeList) zurückgegeben. Eine attributeList-Liste enthält Zertifikatsinformationen: keystore, managementScope, alias und reason. Beispiele:
{conversionStatus=CAN_NOT_CONVERT
   certificateInfo = { keystore = <Keystorename>
                                     managementScope = <Verwaltungsbereich>
		                     alias = <Zertifikatsalias>
                                     reason = <Grund, warum Zertifikat nicht konvertiert werden kann>
		                  } ...
{conversionStatus= CAN_CONVERT
  certificateInfo = { keystore = <Keystorename>
                                    managementScope = <Verwaltungsbereich>
		                    alias = <Zertifikatsalias>
                                    reason = Leer, wenn Zertifikat konvertiert werden kann
                                  } ...
{conversionStatus=MEET_SECURITY_LEVEL
 certificateInfo = { keystore = <Keystorename>
                                    managementScope = <Verwaltungsbereich>
		                    alias = <Zertifikatsalias>
                                    reason = Leer, wenn Zertifikat der Sicherheitsstufe entspricht

Beispiele

  • Mit Jython:
    wsadmin>$AdminTask listCertStatusForSecurityStandard {-fipsLevel SP800-131 -suiteBLevel 128 }
    
    {CAN_CONVERT {{keystore NodeDefaultKeyStore} {managementScope (cell):testNode
    01Cell:(node):testNode01} {alias default} {reason {Current SignatureAlgorithm
     is SHA256withRSA. SignatureAlgorithm needs to be one of [SHA256withECDSA] to be
     compliant with SP 800-131 - Suite B 128. }}
    {keystore NodeDefaultRootStore} {managementScope (cell):testNode01Cell:(node)
    :testNode01} {alias root} {reason {Current SignatureAlgorithm is SHA256withRS
    A. SignatureAlgorithm needs to be one of [SHA256withECDSA] to be compliant with
    SP 800-131 - Suite B 128. }} }} {CAN_NOT_CONVERT {}} {MEET_SECURITY_STANDARD {}}

convertCertForSecurityStandard

Der Befehl "convertCertForSecurityStandard" konvertiert alle Zertifikate, die von der SSL-Konfiguration und von Plug-ins verwendet werden.

Zielobjekt

Ohne

Erforderliche Parameter

Ohne.

Optionale Parameter

-fipsLevel
Gibt die Stufe des zu verwendenden Sicherheitsstandards an. (String, optional). Es gibt keinen Standardwert. Gültige Werte:
FIPS140-2
Wenn Sie diesen Wert festlegen, wird das System so konfiguriert, dass es mit dem Modus Fips 140-2 vollständig kompatibel ist.
transition
Wenn Sie diesen Wert festlegen, wird das System so konfiguriert, dass es mit dem Modus SP800-131 - Transition vollständig kompatibel ist.
SP800-131
Wenn Sie diesen Wert festlegen, wird das System so konfiguriert, dass es mit dem Modus SP800-131 - Strict vollständig kompatibel ist.

Der angegebene Wert wird in der angepassten Sicherheitseigenschaft "com.ibm.websphere.security.FIPSLevel" gesetzt.

Die gültigen Werte sind fipsLevel und suiteBLevel.

-suiteBLevel
Gibt die Stufe für suiteBLevel an. Es gibt keinen Standardwert. Der angegebene Wert wird in der angepassten Sicherheitseigenschaft "com.ibm.websphere.security.suiteb" gesetzt. (String, optional)
Gültige Werte:
  • 128 – Wenn Sie diesen Wert setzen, wird das System so konfiguriert, dass es mit Suite B 128 kompatibel ist.
  • 192 – Wenn Sie diesen Wert setzen, wird das System so konfiguriert, dass es mit Suite B 192 kompatibel ist.
-signatureAlgorithm
Prüft, ob signatureAlgorithm mit FipsLevel und suiteB kompatibel ist. Wenn ja, wird signatureAlgorithm für die Konvertierung der Zertifikate verwendet. Wenn nicht, wird ein kompatibler signatureAlgorithm verwendet. (String, erforderlich)
-keySize
Prüft, ob keySize mit FipsLevel und suiteB kompatibel ist. Wenn ja, wird keySize für die Konvertierung der Zertifikate verwendet. Wenn nicht, wird der Mindestwert für den signatureAlgorithm verwendet.

Rückgabewert:

{conversionStatus=CAN_NOT_CONVERT
certificateInfo = { keystore = <Keystorename>
                                    managementScope = <Verwaltungsbereich>
		                    alias = <Zertifikatsalias>
                                    reason = <Grund, warum Zertifikat nicht konvertiert werden kann>
		              } ...
{conversionStatus=MEET_SECURITY_STANDARD
certificateInfo = { keystore = <Keystorename>
                                    managementScope = <Verwaltungsbereich>
		                    alias = <Zertifikatsalias>
                                    reason = Leer, wenn das Zertifikat dem Sicherheitsstandard entspricht.
                              } ...

Beispiele

  • Mit Jacl:
    wsadmin> $AdminTask convertCertForSecurityStandard {-fipsLevel FIPS140-2 -signatureAlgorithm 
    SHA256withRSA -keySize 2048 }
    
    {CAN_CONVERT {}} {CAN_NOT_CONVERT {}} {MEET_SECURITY_STANDARD {{keystore NodeDef
    aultRootStore} {managementScope (cell):testNode01Cell:(node):testNode01} {
    alias root} {reason {}}
    {keystore NodeDefaultKeyStore} {managementScope (cell):testNode01Cell:(node):
    testNode01} {alias default} {reason {}} }}

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rxml_fipscommands
Dateiname:rxml_fipscommands.html