Grupo de mandatos FIPSCommands para el objeto AdminTask
Puede utilizar los lenguajes de script Jython o Jacl para configurar el estándar FIPS (Federal Information Processing Standards) con la herramienta wsadmin.
enableFips
El mandato enableFips habilita o inhabilita un nivel de seguridad especificado.Objeto de destino
Ninguna.
Parámetros necesarios
- -enableFips
- Si este distintivo se establece en true, FIPS se habilita en el nivel de seguridad especificado en los otros parámetros. Si el distintivo se establece en false, FIPS se inhabilita y los otros parámetros se ignoran. El valor de este parámetro se establece en la propiedad personalizada de seguridad com.ibm.security.useFIPS. (Boolean, obligatorio)
Parámetros opcionales
- -fipsLevel
- Especifica el nivel del estándar de seguridad que se va a utilizar. (String, opcional). No hay ningún valor predeterminado. Los valores válidos incluyen:
- FIPS140-2
- Si se establece este valor, el sistema se configura para cumplir la modalidad Fips 140-2.
- transition
- Si se establece este valor, el sistema se configura para cumplir la modalidad SP800-131 transition.
- SP800-131
- Si se establece este valor, el sistema se configura para cumplir la modalidad SP800-131 strict.
El valor proporcionado se establece en la propiedad personalizada de seguridad com.ibm.websphere.security.FIPSLevel.
Se debe especificar fipsLevel o suiteBLevel.
- -suiteBLevel
- Especifica el nivel de suiteBLevel. No hay valor predeterminado.
El valor proporcionado se establece en la propiedad personalizada de seguridad
com.ibm.websphere.security.suiteb. (String,
opcional)Los valores válidos son:
- 128: si se establece este valor, el sistema se configura para cumplir Suite B 128.
- 192: si se establece este valor, el sistema se configura para cumplir Suite B 192.
- -protocol
- Establece el protocolo de configuración SSL (Secure Sockets Layer). Este parámetro se utiliza sólo cuando el distintivo -fipsLevel se ha establecido en transition. Para otros niveles fipsLevels, el protocolo SSL ya se ha definido mediante especificación. Los valores válidos para transition son: TLS, TLSv1.1 y TLSv1.2. Observe que la consola administrativa sólo muestra TLS y TLSv1.2 como valores válidos. TLS1.1 se puede especificar en una línea de mandatos. (String, opcional)
Valores de retorno:
True (éxito) o false (anomalía). Si es false, se registra una razón de la anomalía en System.Out.log.Ejemplos
- Con una serie Jacl:
$AdminTask enableFips {-enableFips true -fipsLevel transition } true
getFipsInfo
El mandato getFipsInfo devuelve attributeList con el valor FIPS. Los valores son fipsEnabled, fipsLevel y suiteBLevel.
Objeto de destino
Ninguna.Parámetros necesarios
Ninguna.
Valor de retorno:
El mandato getFipsInfo devuelve attributeList con el valor FIPS. Por ejemplo: si FIPS está inhabilitado, fipsLevel y suiteBLevel son series vacías. Por ejemplo:Modalidad de seguridad | Valores de retorno de getFipsInfo |
---|---|
FIPS no habilitado | fipsEnabled=false |
FIPS140-2 | ipsEnabled=true |
SP800-131 - Transición | fipsEnabled=true |
SP800-131 - Estricto | fipsEnabled=true |
Suite B 128 | fipsEnabled=true |
Suite B 192 | fipsEnabled=true |
Ejemplos
- Utilizando Jacl:
$AdminTask getFipsInfo {fipsEnabled true} {fipsLevel SP800-131} {suiteBLevel {}}
listCertStatusForSecurityStandard
El mandato listCertStatusForSecurityStandard devuelve todos los certificados utilizados por los plug-in y la configuración SSL, e indica si cumplen el nivel de seguridad exigido.
Objeto de destino
Ninguna.Parámetros necesarios
Ninguna.Parámetros opcionales
- -suiteBLevel
- Habilita o inhabilita FIPS. No hay ningún valor predeterminado. Si el distintivo se establece en true, la propiedad personalizada de seguridad com.ibm.security.useFips se establece en true. Si el distintivo se establece en false, la propiedad personalizada de seguridad com.ibm.security.useFips se establece en false y los otros distintivos se ignoran. (String, opcional)
- -fipsLevel
- Especifica el nivel del estándar de seguridad que se va a utilizar. (String, opcional). No hay ningún valor predeterminado. Los valores válidos incluyen:
- FIPS140-2
- Si se establece este valor, el sistema se configura para cumplir la modalidad Fips 140-2.
- transition
- Si se establece este valor, el sistema se configura para cumplir la modalidad SP800-131 transition.
- SP800-131
- Si se establece este valor, el sistema se configura para cumplir la modalidad SP800-131 strict.
El valor proporcionado se establece en la propiedad personalizada de seguridad com.ibm.websphere.security.FIPSLevel.
Se debe especificar fipsLevel o suiteBLevel.
- -suiteBLevel
- Especifica el nivel de suiteBLevel. No hay valor predeterminado.
El valor proporcionado se establece en la propiedad personalizada de seguridad
com.ibm.websphere.security.suiteb. (String,
opcional)Los valores válidos son:
- 128: si se establece este valor, el sistema se configura para cumplir Suite B 128.
- 192: si se establece este valor, el sistema se configura para cumplir Suite B 192.
Valor de retorno:
Una lista de atributos que tiene tres claves: CAN_NOT_CONVERT, CAN_CONVERT y MEET_SECURITY_LEVEL. Para cada clave se devuelve una lista de attributeList. Una lista attributeList contiene información de certificado: keystore (almacén de claves), managementScope (ámbito de gestión), alias y reason (razón). Por ejemplo:{conversionStatus=CAN_NOT_CONVERT
certificateInfo = { keystore = <nombre de almacén de claves>
managementScope = <ámbito de gestión>
alias = <alias de certificado>
reason = <razón por la que no puede convertirse el certificado>
} ...
{conversionStatus= CAN_CONVERT
certificateInfo = { keystore = <nombre de almacén de claves>
managementScope = <ámbito de gestión>
alias = <alias de certificado>
reason = vacía si el certificado se puede convertir
} ...
{conversionStatus=MEET_SECURITY_LEVEL
certificateInfo = { keystore = <nombre de almacén de claves>
managementScope = <ámbito de gestión>
alias = <alias de certificado>
reason = vacía si el certificado ya cumple el nivel de seguridad
Ejemplos
- En Jython:
wsadmin>$AdminTask listCertStatusForSecurityStandard {-fipsLevel SP800-131 -suiteBLevel 128 } {CAN_CONVERT {{keystore NodeDefaultKeyStore} {managementScope (cell):testNode 01Cell:(node):testNode01} {alias default} {reason {Current SignatureAlgorithm is SHA256withRSA. SignatureAlgorithm needs to be one of [SHA256withECDSA] to be compliant with SP 800-131 - Suite B 128. }} {keystore NodeDefaultRootStore} {managementScope (cell):testNode01Cell:(node) :testNode01} {alias root} {reason {Current SignatureAlgorithm is SHA256withRS A. SignatureAlgorithm needs to be one of [SHA256withECDSA] to be compliant with SP 800-131 - Suite B 128. }} }} {CAN_NOT_CONVERT {}} {MEET_SECURITY_STANDARD {}}
convertCertForSecurityStandard
El mandato convertCertForSecurityStandard convierte todos los certificados utilizados por los plug-in y configuración SSL.
Objeto de destino
Ninguna.Parámetros necesarios
Ninguna.Parámetros opcionales
- -fipsLevel
- Especifica el nivel del estándar de seguridad que se va a utilizar. (String, opcional). No hay ningún valor predeterminado. Los valores válidos incluyen:
- FIPS140-2
- Si se establece este valor, el sistema se configura para cumplir la modalidad Fips 140-2.
- transition
- Si se establece este valor, el sistema se configura para cumplir la modalidad SP800-131 transition.
- SP800-131
- Si se establece este valor, el sistema se configura para cumplir la modalidad SP800-131 strict.
El valor proporcionado se establece en la propiedad personalizada de seguridad com.ibm.websphere.security.FIPSLevel.
Se debe especificar fipsLevel o suiteBLevel.
- -suiteBLevel
- Especifica el nivel de suiteBLevel. No hay valor predeterminado.
El valor proporcionado se establece en la propiedad personalizada de seguridad
com.ibm.websphere.security.suiteb. (String,
opcional)Los valores válidos son:
- 128: si se establece este valor, el sistema se configura para cumplir Suite B 128.
- 192: si se establece este valor, el sistema se configura para cumplir Suite B 192.
- -signatureAlgorithem
- Comprueba si signatureAlgorithm es compatible con FipsLevel y suiteB. Si es compatible, utilice signatureAlgorithm para convertir certificados. Si no es compatible, utilice un signatureAlgorithm compatible. (String, obligatorio)
- -keySize
- Comprueba si keySize es compatible con FipsLevel y suiteB. Si es compatible, utilice keySize para convertir certificados. Si no es compatible, utilice el valor mínimo de signatureAlgorithm.
Valor de retorno:
{conversionStatus=CAN_NOT_CONVERT
certificateInfo = { keystore = <nombre de almacén de claves>
managementScope = <ámbito de gestión>
alias = <alias de certificado>
reason = <razón por la que no puede convertirse el certificado>
} ...
{conversionStatus=MEET_SECURITY_STANDARD
certificateInfo = { keystore = <nombre de almacén de claves>
managementScope = <ámbito de gestión>
alias = <alias de certificado>
reason = vacía si el certificado cumple el estándar de seguridad } ...
Ejemplos
- Utilizando Jacl:
wsadmin> $AdminTask convertCertForSecurityStandard {-fipsLevel FIPS140-2 -signatureAlgorithm SHA256withRSA -keySize 2048 } {CAN_CONVERT {}} {CAN_NOT_CONVERT {}} {MEET_SECURITY_STANDARD {{keystore NodeDef aultRootStore} {managementScope (cell):testNode01Cell:(node):testNode01} { alias root} {reason {}} {keystore NodeDefaultKeyStore} {managementScope (cell):testNode01Cell:(node): testNode01} {alias default} {reason {}} }}