WebSphere Application Server für strikten Modus des Standards SP800-131 konfigurieren

Sie können WebSphere Application Server für den strikten Modus des Standards SP800-131 konfigurieren.

Vorbereitende Schritte

Lesen Sie den Artikel zu den Konfigurationen der Sicherheitsstandards von WebSphere Application Server, um weitere Hintergrundinformationen zu Sicherheitsstandards zu erhalten.

Informationen zu diesem Vorgang

Der Standard "Special Publications (SP) 800-131" des National Institute of Standards and Technology (NIST) stärkt Algorithmen und erhöht den Wert für die Schlüssellänge, um die Sicherheit zu verbessern. Der Standard ermöglicht auch eine Übergangszeit für die Migration auf den neuen Standard. In der Übergangszeit kann ein Benutzer eine heterogene Umgebung ausführen, in der Einstellungen verwendet werden, die vom Standard unterstützt oder nicht unterstützt werden. Der NIST-Standard SP800-131 erfordert, dass Benutzer in einem bestimmten Zeitrahmen für eine strikte Durchsetzung des Standards konfiguriert werden. Weitere Details finden Sie auf der Website The National Institute of Standards and Technology.

WebSphere Application Server kann so konfiguriert werden, dass SP800-131 im Modus transition oder im Modus strict ausgeführt wird. Lesen Sie den Artikel "WebSphere Application Server auf den Sicherheitsstandard SP800-131 umstellen", um Anweisungen zur Konfiguration des Übergangsmodus zu erhalten.

Für die Ausführung im strikten Modus sind einige Änderungen an der Serverkonfiguration erforderlich:
  • In der SSL-Konfiguration (Secure Sockets Layer) muss das Protokoll "TLSv1.2" verwendet werden.
  • Die Systemeigenschaft "com.ibm.jsse2.sp800-131" muss auf strict gesetzt werden, damit JSSE in einem strikten SP800-131-Modus ausgeführt wird.
  • Zertifikate für die SSL-Kommunikation müssen mindestens 2048 Byte lang sein und EC-Zertifikate (Elliptical Curve) müssen mindestens 244 Byte lang sein.
  • Zertifikate müssen mit dem Signaturalgorithmus SHA256, SHA384 oder SHA512 signiert werden.
  • Es müssen von SP800-131 genehmigte Cipher-Suites verwendet werden.
.
Wichtig: Unterstützte Suites mit Signaturalgorithmen, die SHA-256 verwenden, müssen für die gesamte Zertifikatskette gültig sein. Das heißt, Zertifikate müssen mit dem Signaturalgorithmus SHA256, SHA384 oder SHA512 signiert werden und unterstützte Suites mit Signaturalgorithmen, die SHA256, SHA384 oder SHA512 verwenden, müssen für die gesamte Zertifikatskette gültig sein.

Vorgehensweise

  1. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > FIPS verwalten. Damit SP800-131 in einem strikten Modus ausgeführt werden kann, müssen alle Zertifikate auf dem Server, die für SSL verwendet werden, in Zertifikate umgewandelt werden, die die Anforderungen von SP800-131 einhalten.
  2. Klicken Sie unter "Zugehörige Elemente" auf Zertifikate konvertieren, um Zertifikate umzuwandeln.
  3. Wählen Sie das Optionsfeld Strikt aus, und wählen Sie im Pulldown-Menü aus, welcher signatureAlgorithm-Wert beim Erstellen der neuen Zertifikate verwendet werden soll.
  4. Wählen Sie die Größe des Zertifikats im Pulldown-Menü Neue Zertifikatsschlüsselgröße aus.
    Anmerkung: Wenn Sie einen Signaturalgorithmus für elliptische Kurven auswählen, sind bestimmte Größen erforderlich. Sie können keine Größe eingeben. Stattdessen wird die richtige Größe verwendet.
  5. Wenn im Feld Nicht konvertierbare Zertifikate keine Zertifikate angezeigt werden, klicken Sie auf Anwenden/Speichern.
  6. Wenn im Feld Nicht konvertierbare Zertifikate Zertifikate angezeigt werden, kann der Server die Zertifikate nicht für Sie umwandeln. Sie müssen diese Zertifikate durch Zertifikate ersetzen, die die Anforderungen von SP800-131 erfüllen. Zu den Gründen, warum der Server ein Zertifikat nicht umwandeln kann, gehören:
    • Das Zertifikat wurde von einer Zertifizierungsstelle (Certificate Authority, CA) erstellt.
    • Das Zertifikat befindet sich in einem schreibgeschützten Keystore.

    Nachdem die Zertifikate umgewandelt wurden, um die Spezifikation SP800-131 zu erfüllen, führen Sie die folgenden Schritte aus, um den strikten Modus für SP800-131 zu aktivieren.

  7. Klicken Sie auf Verwaltung von SSL-Zertifikaten und Schlüsseln > FIPS verwalten.
  8. Aktivieren Sie das Optionsfeld SP800-131 aktivieren.
  9. Aktivieren Sie das Optionsfeld Strikt.
  10. Klicken Sie auf Anwenden/Speichern.
  11. Starten Sie die Server erneut und synchronisieren Sie die Knoten manuell, damit der strikte Modus von SP800-131 angewendet wird.

    Nachdem diese Änderungen angewendet wurden und der Server erneut gestartet wurde, werden alle SSL-Konfigurationen auf dem Server geändert, damit das Protokoll "TLSv1.2" verwendet und die Systemeigenschaft "com.ibm.jsse2.sp800-131" auf strict gesetzt wird. Die SSL-Konfiguration verwendet die für den Standard geeigneten SSL-Verschlüsselungen.

    Es gibt einige wsadmin-Tasks, die verwendet werden können, um den strikten Standard SP800-131 mit Scripting zu aktivieren:
    • Überprüfen Sie den Status von Zertifikaten für den Sicherheitsstandard mithilfe der Task "listCertStatusForSecurityStandard".
    • Wandeln Sie Zertifikate für den Sicherheitsstandard mithilfe der Task "convertCertForSecurityStandard" um.
    • Aktivieren Sie den Sicherheitsstandard mithilfe der Task "enableFips".
    • Verwenden Sie die Task "getFipsInfo", um die Einstellung des Sicherheitsstandards anzuzeigen.
  12. Nachdem der Server für den strikten Modus von SP800-131 konfiguriert wurde, muss die Datei ssl.client.props geändert werden, damit der Verwaltungsclient im strikten Modus von SP800-131 ausgeführt wird. Ohne diese Änderung ist es nicht möglich, eine SSL-Verbindung zum Server herzustellen.
    Bearbeiten Sie die Datei ssl.client.props wie folgt:
    1. Setzen Sie die Eigenschaft "com.ibm.security.useFIPS" auf true.
    2. Fügen Sie "com.ibm.websphere.security.FIPSLevel=SP800-131" direkt unter der Eigenschaft "useFips" hinzu.
    3. Ändern Sie die Eigenschaft "com.ibm.ssl.protocol" in "TLSv1.2".

Nächste Schritte

Der strikte Modus des Standards SP800-131 erfordert, dass die SSL-Verbindung das Protokoll "TLSv1.2" verwendet. Damit ein Browser auf die Administrationskonsole oder eine Anwendung zugreifen kann, muss er das Protokoll "TLSv1.2" unterstützen und zuerst dafür konfiguriert werden.
Fehler vermeiden Fehler vermeiden: Wenn die Sicherheitsstandards in einer Network Deployment-Konfiguration aktiviert werden, können sich der Knoten und der Deployment-Manager in einem inkompatiblen Zustand befinden. Weil beim Konfigurieren des Sicherheitsstandards ein Neustart des Servers erforderlich ist, wird empfohlen, alle Node Agents und Server zu stoppen, den Deployment Manager jedoch aktiv zu lassen. Starten Sie den Deployment Manager erneut, nachdem die Konfiguration über die Konsole geändert wurde. gotcha

Synchronisieren Sie die Knoten manuell mit "syncNode", und starten Sie die Node Agents und Server. Sie müssen möglicherweise die Datei ssl.client.props so aktualisieren, dass sie mit dem Deployment Manager kommuniziert, um "syncNode" verwenden zu können.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_config_strictsp300
Dateiname:tsec_config_strictsp300.html