Konfigurationen der WebSphere Application Server-Sicherheitsstandards

Das Produkt WebSphere Application Server kann so konfiguriert werden, dass es mit verschiedenen Sicherheitsstandards eingesetzt werden kann. Diese werden gewöhnlich verwendet, um Sicherheitsanforderungen der Regierung einzuhalten.

Anmerkung: WebSphere Application Server umfasst Verschlüsselungsmodule, darunter Java™ Secure Socket Extension (JSSE) und Java Cryptography Extension (JCE). Die meisten Voraussetzungen sind in den Erweiterungen JSSE und JCE definiert, die den Zertifizierungsvorgang durchlaufen müssen, um Regierungsstandards zu erfüllen. WebSphere Application Server muss für die Ausführung mit den Erweiterungen JSSE und JCE, die einen bestimmten Standard unterstützen, konfiguriert sein. Die derzeit unterstützten Sicherheitsstandards sind FIPS 140-2, SP800-131 und Suite B.
  • Der Federal Information Processing Standard FIPS 140-2 legt Anforderungen für Verschlüsselungsmodule fest. Die Verwendung dieses Standards kann für viele Benutzer konfiguriert sein, aber möglicherweise ist eine Umstellung auf den neueren Standard SP800-131 oder Suite B erforderlich.

    Weitere Informationen zum Standard 140-2 finden Sie auf der Website The National Institute of Standards and Technology.

    Informationen für die Konfiguration von FIPS 140-2 finden Sie im Artikel FIPS-JSSE-Dateien konfigurieren.

  • SP800-131 war ursprünglich eine Anforderung des National Institute of Standards and Technology (NIST), die eine längere Schlüssellänge und stärkere Verschlüsselung erfordert. Außerdem enthält die Spezifikation eine Übergangskonfiguration, die es Benutzern ermöglicht, die Umstellung auf die strikteren Anforderungen von SP800-131 durchzuführen. Die Übergangskonfiguration ermöglicht Benutzern auch, die Umgebung mit gemischten Einstellungen aus FIPS140-2 und SP800-131 zu betreiben. SP800-131 kann in zwei Modi ausgeführt werden, transition und strict.
    Einige Voraussetzungen für die strikte Umsetzung des Standards SP800-131 in WebSphere Application Server sind im Folgenden aufgeführt:
    • Verwendung des Protokolls TLSv1.2 für den SSL-Kontext (Secure Sockets Layer)
    • Mindestzertifikatslänge von 2048. EC-Zertifikate (Elliptical Curve) erfordern eine Mindestgröße von 244-Bit-Kurven.
    • Zertifikate müssen mit dem Signaturalgorithmus SHA256, SHA384 oder SHA512 signiert werden. Die gültigen Signaturalgorithmen umfassen die folgenden Signaturen:
      • SHA256withRSA
      • SHA384withRSA
      • SHA512withRSA
      • SHA256withECDSA
      • SHA384withECDSA
      • SHA512withECDSA
    • Genehmigte Cipher-Suites für SP800-131

    Weitere Details zum Standard SP800-131 finden Sie auf der Website The National Institute of Standards and Technology.

    Informationen zur Umstellung (Übergang) auf den strikten Standard SP800-131 in WebSphere Application Server finden Sie im Artikel WebSphere Application Server auf den Sicherheitsstandard SP800-131 umstellen. Informationen zur Konfiguration von SP800-131 finden Sie im Abschnitt WebSphere Application Server für strikten Modus des Standards SP800-131 konfigurieren.

  • Suite B war ursprünglich eine Anforderung der National Security Agency (NSA), um eine Strategie für verschlüsselte Interoperabilität festzulegen. Dieser Standard ähnelt SP800-131, hat jedoch strengere Einschränkungen. Suite B kann in zwei Modi ausgeführt werden: 128 Bit oder 192 Bit. Die eingeschränkte Richtliniendatei ermöglicht die Verschlüsselung für den 128-Bit-Modus und wird standardmäßig angewendet. Wenn Sie den 192-Bit-Modus verwenden, müssen Sie die uneingeschränkte Richtliniendatei auf das JDK anwenden, damit die stärkere Verschlüsselung, die für den 192-Bit-Modus erforderlich ist, verwendet werden kann.

    In der folgenden Tabelle sind die maximalen Schlüsselgrößen aufgeführt, die die eingeschränkte Richtliniendatei für die Algorithmen IBMJCE und IBMJCECCA zulässt. Benutzer, die eine stärkere Verschlüsselung benötigen, müssen die uneingeschränkte Richtliniendatei verwenden.

    Tabelle 1. Werte eingeschränkter Richtliniendateien
    Algorithmus Maximale Schlüsselgröße in Bit
    DES 64
    DESede 96
    RC2 128
    RC4 128
    RC5 128
    RSA 2048
    Alle anderen Algorithmen 128

    Wenn Sie die uneingeschränkten Richtliniendateien anwenden möchten, müssen Sie die Dateien "US_export_policy.jar" und "local_policy.jar" aus dem Verzeichnis WAS_HOME/java/J5.0/lib/security in das Verzeichnis WAS_HOME/java/J5.0/demo/jce/policy-files/unrestricted kopieren.

    Anforderungen von Suite B in WebSphere Application Server umfassen Folgendes:
    • Die Verwendung des Protokolls "TLSv1.2" für den SSL-Kontext
    • Von Suite B genehmigte Cipher-Suites
    • Zertifikate:
      • Zertifikate im 128-Bit-Modus müssen mit SHA256withECDSA signiert werden.
      • Zertifikate im 192-Bit-Modus müssen mit SHA384withECDSA signiert werden.
    • Verschlüsselungen:
      • SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
      • SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384.

    Informationen zur Konfiguration von Suite B finden Sie im Abschnitt "WebSphere Application Server für den Sicherheitsstandard 'Suite B' konfigurieren".

Eigenschaften zur Aktivierung der Sicherheitsstandards

Die IBM® Virtual Machine for Java (JVM) wird mit einem auf Systemeigenschaften basierenden Sicherheitsmodus ausgeführt. WebSphere Application Server legt diese Systemeigenschaften anhand von Sicherheitskonfigurationseinstellungen fest. Die Sicherheitskonfiguration kann über die Administrationskonsole oder über Scripting-Administratortasks eingerichtet werden. Wenn diese Eigenschaften direkt von einer Anwendung festgelegt werden, kann dies Auswirkungen auf die SSL-Kommunikation mit WebSphere Application Server haben.

Tabelle 2. JVM-Systemeigenschaften zum Aktivieren des Sicherheitsstandards
Sicherheitsstandard Zu aktivierende Systemeigenschaft Gültige Werte
FIPS 140-2 com.ibm.jsse2.usefipsprovider true oder false
SP800-131 com.ibm.jsse2.sp800-131 transition oder strict
Suite B com.ibm.jsse2.suiteB 128 oder 192

Bei der Konfiguration von WebSphere Application Server werden diese Eigenschaften alle gelöscht, sofern sie festgelegt wurden. Anschließend werden sie entsprechend der Sicherheitskonfiguration festgelegt. WebSphere Application Server aktiviert den Sicherheitsstandard anhand der angepassten Eigenschaften, die in der Sicherheitskonfiguration festgelegt sind.

Angepasste Eigenschaften der WebSphere Application Server-Sicherheit zum Aktivieren des Sicherheitsstandards

Tabelle 3. Angepasste Eigenschaften der WebSphere Application Server-Sicherheit zum Aktivieren des Sicherheitsstandards
Sicherheitsstandard Angepasste Eigenschaften für die Sicherheit JVM-Systemeigenschaft
FIPS 140-2

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=FIPS140-2

com.ibm.jsse2.usefipsprovider=true
SP800-131 - Transition

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=transition

com.ibm.jsse2.sp800-131=transition
SP800-131 – strict

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=SP800-131

com.ibm.jsse2.sp800-131=strict
Suite B 128

com.ibm.security.useFips=true
com.ibm.websphere.security.suiteB=128

com.ibm.jsse2.suiteB=128
Suite B 192

com.ibm.security.useFips=true
com.ibm.websphere.security.suiteB=192

com.ibm.jsse2.suiteB=192

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_security_standards
Dateiname:csec_security_standards.html