FIPS-JSSE-Dateien konfigurieren
Verwenden Sie diesen Artikel, um FIPS-JSSE-Dateien (Federal Information Processing Standard Java™ Secure Socket Extension) zu konfigurieren.
Informationen zu diesem Vorgang
- SSL_RSA_WITH_AES_128_CBC_SHA
- SSL_RSA_WITH_3DES_EDE_CBC_SHA
- SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA
- SSL_DHE_RSA_WITH_AES_128_CBC_SHA
- SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
- SSL_DHE_DSS_WITH_AES_128_CBC_SHA
- SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Wenn auf der Seite "Verwaltung von SSL-Zertifikaten und Schlüsseln" für den Server die Option Die FIPS-Algorithmen (Federal Information Processing Standard) verwenden aktiviert wird, verwendet die Laufzeitumgebung immer IBMJSSE2, unabhängig vom Kontextprovider, den Sie für SSL angegeben haben (IBMJSSE oder IBMJSSE2S).Da FIPS das SSL-Protokoll TLS fordert, verwendet die Laufzeitumgebung immer TLS, sobald FIPS aktiviert ist. Dies gilt unabhängig von der Einstellung für das SSL-Protokoll im SSL-Repertoire. Dadurch wird die FIPS-Konfiguration in Version 9.0 vereinfacht, da der Administrator lediglich die Option Die FIPS-Algorithmen (Federal Information Processing Standard) verwenden in der Anzeige "Verwaltung von SSL-Zertifikaten und Schlüsseln" für den Server aktivieren muss, um alle Transporte mit SSL zu aktivieren.
Vorgehensweise
Nächste Schritte
- In Microsoft Internet Explorer ist TLS möglicherweise nicht standardmäßig aktiviert. Wenn Sie TLS aktivieren möchten, öffnen Sie den Browser Internet Explorer und klicken
Sie auf Extras > Internetoptionen. Wählen Sie auf der Registerkarte "Erweitert" die Option "TLS 1.0 verwenden" aus. Anmerkung: In Netscape Version 4.7.x und früher wird TLS unter Umständen nicht unterstützt.
- Wenn Sie in der Anzeige "Verwaltung von SSL-Zertifikaten und Schlüsseln" die Option Federal Information Processing Standard (FIPS) verwenden auswählen, ist das LTPA-Tokenformat mit früheren Releases von WebSphere Application Server nicht abwärtskompatibel. LTPA-Schlüssel können jedoch aus einer früheren Version des Anwendungsservers importiert werden.
- Anmerkung: Aufgrund der aktuellen WebSphere-Einschränkung wird die Schlüssellänge in geheimen Schlüsseln nicht auf Konformität mit FIPS sp800-131a ausgewertet. Wenn geheime Schlüssel im Keystore enthalten sind, prüfen Sie die Schlüssellänge mit iKeyman im Verzeichnis {WebSphere_install_dir}\java\jre\bin oder mit einem anderen Keystore-Tool.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
ADMU3007E: Exception com.ibm.websphere.management.exception.ConnectorException
Entfernen Sie das Kommentarzeichen für den folgenden Eintrag in der Datei
java.security, wenn dieser Eintrag zuvor auf Kommentar gesetzt wurde, und starten Sie anschließend den Server erneut:
security.provider.2=com.ibm.crypto.provider.IBMJCE
- IBMJCEFIPS (Zertifikat 376)
- IBM Cryptography for C (ICC) (Zertifika 384)
- In der Datei ssl.client.props müssen Sie den Wert com.ibm.security.useFIPS in false ändern.
In der Datei java.security müssen Sie den FIPS-Provider in einen Provider ändern, der nicht FIPS ist.
Wenn Sie die Datei java.security des IBM SDK verwenden möchten, müssen Sie den ersten Provider in einen anderen Provider als FIPS ändern, wie im folgenden Beispiel dargestellt:#security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.1=com.ibm.crypto.provider.IBMJCE security.provider.2=com.ibm.jsse.IBMJSSEProvider security.provider.3=com.ibm.jsse2.IBMJSSEProvider2 security.provider.4=com.ibm.security.jgss.IBMJGSSProvider security.provider.5=com.ibm.security.cert.IBMCertPath #security.provider.6=com.ibm.crypto.pkcs11.provider.IBMPKCS11
Wenn Sie die Datei java.security des Sun SDK verwenden möchten, müssen Sie den dritten Provider in einen Provider ändern, der nicht FIPS ist, wie im folgenden Beispiel dargestellt:security.provider.1=sun.security.provider.Sun security.provider.2=com.ibm.security.jgss.IBMJGSSProvider security.provider.3=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.4=com.ibm.crypto.provider.IBMJCE security.provider.5=com.ibm.jsse.IBMJSSEProvider security.provider.6=com.ibm.jsse2.IBMJSSEProvider2 security.provider.7=com.ibm.security.cert.IBMCertPath #security.provider.8=com.ibm.crypto.pkcs11.provider.IBMPKCS11
Öffnen Sie die Datei java.security in einem Editor, entfernen Sie den Provider FIPS und nummerieren Sie die Provider neu. Beispiel:
security.provider.1=sun.security.provider.Sun #security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.2=com.ibm.crypto.provider.IBMJCE security.provider.3=com.ibm.jsse.IBMJSSEProvider security.provider.4=com.ibm.jsse2.IBMJSSEProvider2 security.provider.5=com.ibm.security.jgss.IBMJGSSProvider security.provider.6=com.ibm.security.cert.IBMCertPath security.provider.7=com.ibm.i5os.jsse.JSSEProvider #security.provider.8=com.ibm.crypto.pkcs11.provider.IBMPKCS11 security.provider.8=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
![[z/OS]](../images/ngzos.gif)
- Reduzieren Sie die Cipher-Suite-Stufe auf "Mittel", wenn Sie momentan mit der
Cipher-Suite-Stufe "Stark" arbeiten.
Fehler vermeiden: Sie können die Cipher-Suite-Stufe für verschiedene Ebenen Ihrer Umgebung ändern, z. B. für die Knoten- oder Serverebene. Beschränken Sie die Änderung auf die Ebene Ihrer Umgebung, auf der die Änderung erforderlich ist.gotcha
Zum Ändern der Cipher Suite sehen Sie sich die Informationen zu den Cipher-Suite-Gruppen in der Dokumentation zu den Datenschutzniveaueinstellungen an. Wenn Sie die Cipher-Suite-Stufe in "Mittel" ändern, speichern und synchronisieren Sie die Änderungen. Wenn die Option Laufzeitumgebung bei Änderungen in der SSL-Konfiguration dynamisch aktualisieren ausgewählt ist, müssen Sie den Server nicht erneut starten. Ist die Option jedoch nicht ausgewählt, müssen Sie den Server erneut starten, damit die Änderungen wirksam werden. Die Option Laufzeitumgebung bei Änderungen in der SSL-Konfiguration dynamisch aktualisieren ist in der Anzeige "Verwaltung von SSL-Zertifikaten und -Schüsseln" der Administrationskonsole verfügbar. Für den Zugriff auf diese Anzeige klicken Sie auf .
- Installieren Sie FMID JCPT3A1 der Sicherheitsstufe 3 für das Betriebssystem z/OS.
FMID JCPT3A1 der Sicherheitsstufe 3 ist die Implementierung der nach FIPS 140-2 genehmigten Verschlüsselungsprovider für das Betriebssystem z/OS.