Befehlsgruppe "FIPSCommands" für das Objekt "AdminTask"
Sie können die Scripting-Sprachen Jython oder Jacl verwenden, um Federal Information Processing Standards (FIPS) mit dem Tool "wsadmin" zu konfigurieren.
enableFips
Der Befehl "enableFips" aktiviert oder inaktiviert eine angegebene Sicherheitsstufe.Zielobjekt
Ohne.
Erforderliche Parameter
- -enableFips
- Wenn Sie dieses Flag auf true setzen, wird wird FIPS auf der mit anderen Parametern angegebenen Sicherheitsstufe aktiviert. Wenn Sie das Flag auf false setzen, wird FIPS inaktiviert, und die anderen Parameter werden ignoriert. Dieser Parameter wird auf den Wert der angepassten Sicherheitseigenschaft "com.ibm.security.useFIPS" gesetzt. (Boolean, erforderlich)
Optionale Parameter
- -fipsLevel
- Gibt die Stufe des zu verwendenden Sicherheitsstandards an. (String, optional). Es gibt keinen Standardwert. Gültige Werte:
- FIPS140-2
- Wenn Sie diesen Wert festlegen, wird das System so konfiguriert, dass es mit dem Modus Fips 140-2 vollständig kompatibel ist.
- transition
- Wenn Sie diesen Wert festlegen, wird das System so konfiguriert, dass es mit dem Modus SP800-131 - Transition vollständig kompatibel ist.
- SP800-131
- Wenn Sie diesen Wert festlegen, wird das System so konfiguriert, dass es mit dem Modus SP800-131 - Strict vollständig kompatibel ist.
Der angegebene Wert wird in der angepassten Sicherheitseigenschaft "com.ibm.websphere.security.FIPSLevel" gesetzt.
Die gültigen Werte sind fipsLevel und suiteBLevel.
- -suiteBLevel
- Gibt die Stufe für suiteBLevel an. Es gibt keinen Standardwert. Der angegebene Wert wird in der angepassten Sicherheitseigenschaft "com.ibm.websphere.security.suiteb"
gesetzt.
(String, optional)Gültige Werte:
- 128 – Wenn Sie diesen Wert setzen, wird das System so konfiguriert, dass es mit Suite B 128 kompatibel ist.
- 192 – Wenn Sie diesen Wert setzen, wird das System so konfiguriert, dass es mit Suite B 192 kompatibel ist.
- -protocol
- Legt das Protokoll für die SSL-Konfiguration (Secure Sockets Layer) fest. Dieser Parameter wird nur verwendet, wenn das Flag "-fipsLevel" auf transition gesetzt ist. Für andere fipsLevels ist das SSL-Protokoll bereits durch die Spezifikation definiert. Die gültigen Werte für "transition" sind TLS, TLSv1.1 und TLSv1.2. Beachten Sie, dass in der Administrationskonsole nur TLS und TLSv1.2 als gültige Werte angezeigt werden. TLS1.1 kann in einer Befehlszeile angegeben werden. (String, optional)
Rückgabewerte:
True (Erfolg) oder false (Fehler). Wenn der Rückgabewert "false" ist, wird eine Ursache für den Fehler in System.Out.log protokolliert.Beispiele
- Mit Jacl (String):
$AdminTask enableFips {-enableFips true -fipsLevel transition } true
getFipsInfo
Der Befehl "getFipsInfo" gibt eine Attributliste mit der FIPS-Einstellung zurück. Die Einstellungen sind fipsEnabled, fipsLevel und suiteBLevel.
Zielobjekt
OhneErforderliche Parameter
Ohne.
Rückgabewert:
Der Befehl "getFipsInfo" gibt eine Attributliste mit der FIPS-Einstellung zurück. Wenn FIPS inaktiviert ist, sind fipsLevel und suiteBLevel beispielsweise leere Zeichenfolgen. Beispiel:Sicherheitsmodus | Rückgabewerte von getFipsInfo |
---|---|
FIPS nicht aktiviert | fipsEnabled=false |
FIPS140-2 | ipsEnabled=true |
SP800-131 - Transition | fipsEnabled=true |
SP800-131 - Strict | fipsEnabled=true |
Suite B 128 | fipsEnabled=true |
Suite B 192 | fipsEnabled=true |
Beispiele
- Mit Jacl:
$AdminTask getFipsInfo {fipsEnabled true} {fipsLevel SP800-131} {suiteBLevel {}}
listCertStatusForSecurityStandard
Der Befehl "listCertStatusForSecurityStandard" gibt alle Zertifikate zurück, die von der SSL-Konfiguration und von Plug-ins verwendet werden, und zeigt an, ob sie mit der angeforderten Sicherheitsstufe übereinstimmen.
Zielobjekt
OhneErforderliche Parameter
Ohne.Optionale Parameter
- -suiteBLevel
- Aktiviert oder inaktiviert FIPS. Es gibt keinen Standardwert. Wenn Sie das Flag auf true setzen, wird die angepasste Sicherheitseigenschaft "com.ibm.security.useFips" auf "true" gesetzt. Wenn Sie das Flag auf false setzen, wird die angepasste Sicherheitseigenschaft "com.ibm.security.useFips" auf "false" gesetzt, und die anderen Flags werden ignoriert. (String, optional)
- -fipsLevel
- Gibt die Stufe des zu verwendenden Sicherheitsstandards an. (String, optional). Es gibt keinen Standardwert. Gültige Werte:
- FIPS140-2
- Wenn Sie diesen Wert festlegen, wird das System so konfiguriert, dass es mit dem Modus Fips 140-2 vollständig kompatibel ist.
- transition
- Wenn Sie diesen Wert festlegen, wird das System so konfiguriert, dass es mit dem Modus SP800-131 - Transition vollständig kompatibel ist.
- SP800-131
- Wenn Sie diesen Wert festlegen, wird das System so konfiguriert, dass es mit dem Modus SP800-131 - Strict vollständig kompatibel ist.
Der angegebene Wert wird in der angepassten Sicherheitseigenschaft "com.ibm.websphere.security.FIPSLevel" gesetzt.
Die gültigen Werte sind fipsLevel und suiteBLevel.
- -suiteBLevel
- Gibt die Stufe für suiteBLevel an. Es gibt keinen Standardwert. Der angegebene Wert wird in der angepassten Sicherheitseigenschaft "com.ibm.websphere.security.suiteb"
gesetzt.
(String, optional)Gültige Werte:
- 128 – Wenn Sie diesen Wert setzen, wird das System so konfiguriert, dass es mit Suite B 128 kompatibel ist.
- 192 – Wenn Sie diesen Wert setzen, wird das System so konfiguriert, dass es mit Suite B 192 kompatibel ist.
Rückgabewert:
Eine attributeList-Liste hat drei Schlüssel: CAN_NOT_CONVERT, CAN_CONVERT, and MEET_SECURITY_LEVEL. Für jeden Schlüssel wird eine Attributliste (attributeList) zurückgegeben. Eine attributeList-Liste enthält Zertifikatsinformationen: keystore, managementScope, alias und reason. Beispiele:{conversionStatus=CAN_NOT_CONVERT
certificateInfo = { keystore = <Keystorename>
managementScope = <Verwaltungsbereich>
alias = <Zertifikatsalias>
reason = <Grund, warum Zertifikat nicht konvertiert werden kann>
} ...
{conversionStatus= CAN_CONVERT
certificateInfo = { keystore = <Keystorename>
managementScope = <Verwaltungsbereich>
alias = <Zertifikatsalias>
reason = Leer, wenn Zertifikat konvertiert werden kann
} ...
{conversionStatus=MEET_SECURITY_LEVEL
certificateInfo = { keystore = <Keystorename>
managementScope = <Verwaltungsbereich>
alias = <Zertifikatsalias>
reason = Leer, wenn Zertifikat der Sicherheitsstufe entspricht
Beispiele
- Mit Jython:
wsadmin>$AdminTask listCertStatusForSecurityStandard {-fipsLevel SP800-131 -suiteBLevel 128 } {CAN_CONVERT {{keystore NodeDefaultKeyStore} {managementScope (cell):testNode 01Cell:(node):testNode01} {alias default} {reason {Current SignatureAlgorithm is SHA256withRSA. SignatureAlgorithm needs to be one of [SHA256withECDSA] to be compliant with SP 800-131 - Suite B 128. }} {keystore NodeDefaultRootStore} {managementScope (cell):testNode01Cell:(node) :testNode01} {alias root} {reason {Current SignatureAlgorithm is SHA256withRS A. SignatureAlgorithm needs to be one of [SHA256withECDSA] to be compliant with SP 800-131 - Suite B 128. }} }} {CAN_NOT_CONVERT {}} {MEET_SECURITY_STANDARD {}}
convertCertForSecurityStandard
Der Befehl "convertCertForSecurityStandard" konvertiert alle Zertifikate, die von der SSL-Konfiguration und von Plug-ins verwendet werden.
Zielobjekt
OhneErforderliche Parameter
Ohne.Optionale Parameter
- -fipsLevel
- Gibt die Stufe des zu verwendenden Sicherheitsstandards an. (String, optional). Es gibt keinen Standardwert. Gültige Werte:
- FIPS140-2
- Wenn Sie diesen Wert festlegen, wird das System so konfiguriert, dass es mit dem Modus Fips 140-2 vollständig kompatibel ist.
- transition
- Wenn Sie diesen Wert festlegen, wird das System so konfiguriert, dass es mit dem Modus SP800-131 - Transition vollständig kompatibel ist.
- SP800-131
- Wenn Sie diesen Wert festlegen, wird das System so konfiguriert, dass es mit dem Modus SP800-131 - Strict vollständig kompatibel ist.
Der angegebene Wert wird in der angepassten Sicherheitseigenschaft "com.ibm.websphere.security.FIPSLevel" gesetzt.
Die gültigen Werte sind fipsLevel und suiteBLevel.
- -suiteBLevel
- Gibt die Stufe für suiteBLevel an. Es gibt keinen Standardwert. Der angegebene Wert wird in der angepassten Sicherheitseigenschaft "com.ibm.websphere.security.suiteb"
gesetzt.
(String, optional)Gültige Werte:
- 128 – Wenn Sie diesen Wert setzen, wird das System so konfiguriert, dass es mit Suite B 128 kompatibel ist.
- 192 – Wenn Sie diesen Wert setzen, wird das System so konfiguriert, dass es mit Suite B 192 kompatibel ist.
- -signatureAlgorithm
- Prüft, ob signatureAlgorithm mit FipsLevel und suiteB kompatibel ist. Wenn ja, wird signatureAlgorithm für die Konvertierung der Zertifikate verwendet. Wenn nicht, wird ein kompatibler signatureAlgorithm verwendet. (String, erforderlich)
- -keySize
- Prüft, ob keySize mit FipsLevel und suiteB kompatibel ist. Wenn ja, wird keySize für die Konvertierung der Zertifikate verwendet. Wenn nicht, wird der Mindestwert für den signatureAlgorithm verwendet.
Rückgabewert:
{conversionStatus=CAN_NOT_CONVERT
certificateInfo = { keystore = <Keystorename>
managementScope = <Verwaltungsbereich>
alias = <Zertifikatsalias>
reason = <Grund, warum Zertifikat nicht konvertiert werden kann>
} ...
{conversionStatus=MEET_SECURITY_STANDARD
certificateInfo = { keystore = <Keystorename>
managementScope = <Verwaltungsbereich>
alias = <Zertifikatsalias>
reason = Leer, wenn das Zertifikat dem Sicherheitsstandard entspricht.
} ...
Beispiele
- Mit Jacl:
wsadmin> $AdminTask convertCertForSecurityStandard {-fipsLevel FIPS140-2 -signatureAlgorithm SHA256withRSA -keySize 2048 } {CAN_CONVERT {}} {CAN_NOT_CONVERT {}} {MEET_SECURITY_STANDARD {{keystore NodeDef aultRootStore} {managementScope (cell):testNode01Cell:(node):testNode01} { alias root} {reason {}} {keystore NodeDefaultKeyStore} {managementScope (cell):testNode01Cell:(node): testNode01} {alias default} {reason {}} }}