Configuración de los archivos JSSE (Java Secure Socket Extension) aprobados por FIPS (Federal Information Processing Standard)
Utilice este tema para configurar los archivos JSSE (Java™ Secure Socket Extension) aprobados por FIPS (Federal Information Processing Standard).
Acerca de esta tarea
- SSL_RSA_WITH_AES_128_CBC_SHA
- SSL_RSA_WITH_3DES_EDE_CBC_SHA
- SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA
- SSL_DHE_RSA_WITH_AES_128_CBC_SHA
- SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
- SSL_DHE_DSS_WITH_AES_128_CBC_SHA
- SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Al habilitar la opción Utilizar los algoritmos del estándar FIPS (Federal Information Processing Standard) de EE.UU. en el certificado SSL del servidor y el panel de gestión de claves, el tiempo de ejecución siempre utiliza IBMJSSE2, a pesar del contextProvider que especifique para SSL (IBMJSSE o IBMJSSE2S). Además, puesto que FIPS exige que el protocolo SSL sea TLS, el tiempo de ejecución siempre utiliza TLS cuando FIPS está habilitado independientemente del valor de protocolo SSL del repertorio SSL. Esto simplifica la configuración de FIPS en la Versión 9.0 porque un administrador tiene que habilitar sólo la opción Utilice los algoritmos del estándar FIPS (Federal Information Processing Standard) de EE.UU. en el panel Gestión de claves y certificados SSL del servidor para habilitar todos los transportes con SSL.
Procedimiento
Qué hacer a continuación
- De forma predeterminada, es posible que Microsoft Internet Explorer no tenga TLS habilitado. Para
habilitar TLS, abra el navegador Internet
Explorer y pulse Herramientas > Opciones de Internet. En el separador Avanzado, seleccione la opción
Utilizar TLS 1.0. Nota: Es posible que Netscape versión 4.7.x y versiones anteriores no den soporte a TLS.
- Cuando seleccione la opción Utilizar FIPS (Federal Information Processing Standard) en el panel Gestión de certificados SSL y de claves, el formato de la señal LTPA (Lightweight Third-Party Authentication) no es compatible con releases anteriores de WebSphere Application Server. No obstante, puede importar las claves LTPA de una versión anterior del servidor de aplicaciones.
- Nota: El límite actual de WebSphere es que la longitud de clave en las claves secretas no se evalúa para ver si es compatible con FIPS sp800-131a. Si las claves secretas están en el almacén de claves, compruebe la longitud de clave utilizando iKeyman en el directorio {WebSphere_install_dir}\java\jre\bin o utilizando otras herramientas del almacén de claves.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
ADMU3007E: Exception com.ibm.websphere.management.exception.ConnectorException
Descomente la entrada siguiente del archivo java.security si anteriormente se ha suprimido o
comentado, a continuación, reinicie el servidor:
security.provider.2=com.ibm.crypto.provider.IBMJCE
- IBMJCEFIPS (certificado 376)
- IBM Cryptography for C (ICC) (certificado 384)
- En el archivo ssl.client.props, debe cambiar el valor de com.ibm.security.useFIPS a false.
En el archivo java.security, debe cambiar el proveedor FIPS por un proveedor no FIPS.
Si utiliza el archivo java.security de IBM SDK, debe cambiar el primer proveedor por un proveedor no FIPS tal como se muestra en el ejemplo siguiente:#security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.1=com.ibm.crypto.provider.IBMJCE security.provider.2=com.ibm.jsse.IBMJSSEProvider security.provider.3=com.ibm.jsse2.IBMJSSEProvider2 security.provider.4=com.ibm.security.jgss.IBMJGSSProvider security.provider.5=com.ibm.security.cert.IBMCertPath #security.provider.6=com.ibm.crypto.pkcs11.provider.IBMPKCS11
Si utiliza el archivo java.security de Sun JDK, debe cambiar el tercer proveedor por un proveedor no FIPS tal como se muestra en el ejemplo siguiente:security.provider.1=sun.security.provider.Sun security.provider.2=com.ibm.security.jgss.IBMJGSSProvider security.provider.3=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.4=com.ibm.crypto.provider.IBMJCE security.provider.5=com.ibm.jsse.IBMJSSEProvider security.provider.6=com.ibm.jsse2.IBMJSSEProvider2 security.provider.7=com.ibm.security.cert.IBMCertPath #security.provider.8=com.ibm.crypto.pkcs11.provider.IBMPKCS11
Edite el archivo java.security para eliminar el proveedor FIPS y cambiar los números de los proveedores como en el ejemplo siguiente:
security.provider.1=sun.security.provider.Sun #security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.2=com.ibm.crypto.provider.IBMJCE security.provider.3=com.ibm.jsse.IBMJSSEProvider security.provider.4=com.ibm.jsse2.IBMJSSEProvider2 security.provider.5=com.ibm.security.jgss.IBMJGSSProvider security.provider.6=com.ibm.security.cert.IBMCertPath security.provider.7=com.ibm.i5os.jsse.JSSEProvider #security.provider.8=com.ibm.crypto.pkcs11.provider.IBMPKCS11 security.provider.8=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
![[z/OS]](../images/ngzos.gif)
- Reduzca el nivel de la suite de cifrado a Medio, si el nivel de la suite de cifrado es, actualmente, Alto.
Avoid trouble: Puede cambiar el nivel de la suite de cifrado para niveles de entorno distintos como, por ejemplo, el nivel de nodo o de servidor. Limite el cambio al nivel del entorno en el que sea necesario el cambio.gotcha
Para cambiar la suite de cifrado, consulte la información sobre los grupos de suites de cifrado dentro de la documentación de los valores de la calidad de protección. Si cambia el nivel de la suite de cifrado a Medio, guarde y sincronice los cambios. Si la opción Actualizar dinámicamente el tiempo de ejecución cuando se producen cambios de configuración SSL está seleccionada, no es necesario que reinicie el servidor. No obstante, si la opción no está seleccionada, debe reiniciar el servidor para que los cambios entren en vigor. La opción Actualizar dinámicamente el entorno de ejecución cuando se producen cambios de configuración SSL se encuentra en el panel Certificado SSL y gestión de claves, en la consola de administración. Para acceder al panel, seleccione .
- Instalar el nivel de seguridad 3 FMID JCPT3A1 para el sistema operativo z/OS.
La seguridad de Nivel 3 FMID JCPT3A1 es la implementación del sistema operativo z/OS de los proveedores criptográficos aprobados por FIPS 140-2.