Grupo de mandatos FIPSCommands para el objeto AdminTask

Puede utilizar los lenguajes de script Jython o Jacl para configurar el estándar FIPS (Federal Information Processing Standards) con la herramienta wsadmin.

El grupo de mandatos FIPSCommands del objeto AdminTask contiene los mandatos siguientes:

enableFips

El mandato enableFips habilita o inhabilita un nivel de seguridad especificado.

Objeto de destino

Ninguna.

Parámetros necesarios

-enableFips
Si este distintivo se establece en true, FIPS se habilita en el nivel de seguridad especificado en los otros parámetros. Si el distintivo se establece en false, FIPS se inhabilita y los otros parámetros se ignoran. El valor de este parámetro se establece en la propiedad personalizada de seguridad com.ibm.security.useFIPS. (Boolean, obligatorio)

Parámetros opcionales

-fipsLevel
Especifica el nivel del estándar de seguridad que se va a utilizar. (String, opcional). No hay ningún valor predeterminado. Los valores válidos incluyen:
FIPS140-2
Si se establece este valor, el sistema se configura para cumplir la modalidad Fips 140-2.
transition
Si se establece este valor, el sistema se configura para cumplir la modalidad SP800-131 transition.
SP800-131
Si se establece este valor, el sistema se configura para cumplir la modalidad SP800-131 strict.

El valor proporcionado se establece en la propiedad personalizada de seguridad com.ibm.websphere.security.FIPSLevel.

Se debe especificar fipsLevel o suiteBLevel.

-suiteBLevel
Especifica el nivel de suiteBLevel. No hay valor predeterminado. El valor proporcionado se establece en la propiedad personalizada de seguridad com.ibm.websphere.security.suiteb. (String, opcional)
Los valores válidos son:
  • 128: si se establece este valor, el sistema se configura para cumplir Suite B 128.
  • 192: si se establece este valor, el sistema se configura para cumplir Suite B 192.
-protocol
Establece el protocolo de configuración SSL (Secure Sockets Layer). Este parámetro se utiliza sólo cuando el distintivo -fipsLevel se ha establecido en transition. Para otros niveles fipsLevels, el protocolo SSL ya se ha definido mediante especificación. Los valores válidos para transition son: TLS, TLSv1.1 y TLSv1.2. Observe que la consola administrativa sólo muestra TLS y TLSv1.2 como valores válidos. TLS1.1 se puede especificar en una línea de mandatos. (String, opcional)

Valores de retorno:

True (éxito) o false (anomalía). Si es false, se registra una razón de la anomalía en System.Out.log.

Ejemplos

  • Con una serie Jacl:
    $AdminTask enableFips {-enableFips true -fipsLevel transition }
    true

getFipsInfo

El mandato getFipsInfo devuelve attributeList con el valor FIPS. Los valores son fipsEnabled, fipsLevel y suiteBLevel.

Objeto de destino

Ninguna.

Parámetros necesarios

Ninguna.

Valor de retorno:

El mandato getFipsInfo devuelve attributeList con el valor FIPS. Por ejemplo: si FIPS está inhabilitado, fipsLevel y suiteBLevel son series vacías. Por ejemplo:
Tabla 1. Modalidad de seguridad y nivel FIPS
Modalidad de seguridad Valores de retorno de getFipsInfo
FIPS no habilitado

fipsEnabled=false
fipsLevel=(serie vacía)
suiteBLevel=(serie vacía)

FIPS140-2

ipsEnabled=true
fipsLevel=FIPS140-2
suiteBLevel=(serie vacía)

SP800-131 - Transición

fipsEnabled=true
fipsLevel=transition
suiteBLevel=(serie vacía)

SP800-131 - Estricto

fipsEnabled=true
fipsLevel=SP800-131
suiteBLevel=(serie vacía)

Suite B 128

fipsEnabled=true
fipsLevel=(serie vacía)
suiteBLevel=128

Suite B 192

fipsEnabled=true
fipsLevel=(serie vacía)
suiteBLevel=192

Ejemplos

  • Utilizando Jacl:
    $AdminTask getFipsInfo
    {fipsEnabled true} {fipsLevel SP800-131} {suiteBLevel {}}

listCertStatusForSecurityStandard

El mandato listCertStatusForSecurityStandard devuelve todos los certificados utilizados por los plug-in y la configuración SSL, e indica si cumplen el nivel de seguridad exigido.

Objeto de destino

Ninguna.

Parámetros necesarios

Ninguna.

Parámetros opcionales

-suiteBLevel
Habilita o inhabilita FIPS. No hay ningún valor predeterminado. Si el distintivo se establece en true, la propiedad personalizada de seguridad com.ibm.security.useFips se establece en true. Si el distintivo se establece en false, la propiedad personalizada de seguridad com.ibm.security.useFips se establece en false y los otros distintivos se ignoran. (String, opcional)
-fipsLevel
Especifica el nivel del estándar de seguridad que se va a utilizar. (String, opcional). No hay ningún valor predeterminado. Los valores válidos incluyen:
FIPS140-2
Si se establece este valor, el sistema se configura para cumplir la modalidad Fips 140-2.
transition
Si se establece este valor, el sistema se configura para cumplir la modalidad SP800-131 transition.
SP800-131
Si se establece este valor, el sistema se configura para cumplir la modalidad SP800-131 strict.

El valor proporcionado se establece en la propiedad personalizada de seguridad com.ibm.websphere.security.FIPSLevel.

Se debe especificar fipsLevel o suiteBLevel.

-suiteBLevel
Especifica el nivel de suiteBLevel. No hay valor predeterminado. El valor proporcionado se establece en la propiedad personalizada de seguridad com.ibm.websphere.security.suiteb. (String, opcional)
Los valores válidos son:
  • 128: si se establece este valor, el sistema se configura para cumplir Suite B 128.
  • 192: si se establece este valor, el sistema se configura para cumplir Suite B 192.

Valor de retorno:

Una lista de atributos que tiene tres claves: CAN_NOT_CONVERT, CAN_CONVERT y MEET_SECURITY_LEVEL. Para cada clave se devuelve una lista de attributeList. Una lista attributeList contiene información de certificado: keystore (almacén de claves), managementScope (ámbito de gestión), alias y reason (razón). Por ejemplo:
{conversionStatus=CAN_NOT_CONVERT
   certificateInfo = { keystore = <nombre de almacén de claves>
                                     managementScope = <ámbito de gestión>
		                     alias = <alias de certificado>
                                     reason = <razón por la que no puede convertirse el certificado>
		                  } ...
{conversionStatus= CAN_CONVERT
  certificateInfo = { keystore = <nombre de almacén de claves>
                                    managementScope = <ámbito de gestión>
		                    alias = <alias de certificado>
                                    reason = vacía si el certificado se puede convertir
                                  } ...
{conversionStatus=MEET_SECURITY_LEVEL
 certificateInfo = { keystore = <nombre de almacén de claves>
                                    managementScope = <ámbito de gestión>
		                    alias = <alias de certificado>
                                    reason = vacía si el certificado ya cumple el nivel de seguridad

Ejemplos

  • En Jython:
    wsadmin>$AdminTask listCertStatusForSecurityStandard {-fipsLevel SP800-131 -suiteBLevel 128 }
    
    {CAN_CONVERT {{keystore NodeDefaultKeyStore} {managementScope (cell):testNode
    01Cell:(node):testNode01} {alias default} {reason {Current SignatureAlgorithm
     is SHA256withRSA. SignatureAlgorithm needs to be one of [SHA256withECDSA] to be
     compliant with SP 800-131 - Suite B 128. }}
    {keystore NodeDefaultRootStore} {managementScope (cell):testNode01Cell:(node)
    :testNode01} {alias root} {reason {Current SignatureAlgorithm is SHA256withRS
    A. SignatureAlgorithm needs to be one of [SHA256withECDSA] to be compliant with
    SP 800-131 - Suite B 128. }} }} {CAN_NOT_CONVERT {}} {MEET_SECURITY_STANDARD {}}

convertCertForSecurityStandard

El mandato convertCertForSecurityStandard convierte todos los certificados utilizados por los plug-in y configuración SSL.

Objeto de destino

Ninguna.

Parámetros necesarios

Ninguna.

Parámetros opcionales

-fipsLevel
Especifica el nivel del estándar de seguridad que se va a utilizar. (String, opcional). No hay ningún valor predeterminado. Los valores válidos incluyen:
FIPS140-2
Si se establece este valor, el sistema se configura para cumplir la modalidad Fips 140-2.
transition
Si se establece este valor, el sistema se configura para cumplir la modalidad SP800-131 transition.
SP800-131
Si se establece este valor, el sistema se configura para cumplir la modalidad SP800-131 strict.

El valor proporcionado se establece en la propiedad personalizada de seguridad com.ibm.websphere.security.FIPSLevel.

Se debe especificar fipsLevel o suiteBLevel.

-suiteBLevel
Especifica el nivel de suiteBLevel. No hay valor predeterminado. El valor proporcionado se establece en la propiedad personalizada de seguridad com.ibm.websphere.security.suiteb. (String, opcional)
Los valores válidos son:
  • 128: si se establece este valor, el sistema se configura para cumplir Suite B 128.
  • 192: si se establece este valor, el sistema se configura para cumplir Suite B 192.
-signatureAlgorithem
Comprueba si signatureAlgorithm es compatible con FipsLevel y suiteB. Si es compatible, utilice signatureAlgorithm para convertir certificados. Si no es compatible, utilice un signatureAlgorithm compatible. (String, obligatorio)
-keySize
Comprueba si keySize es compatible con FipsLevel y suiteB. Si es compatible, utilice keySize para convertir certificados. Si no es compatible, utilice el valor mínimo de signatureAlgorithm.

Valor de retorno:

{conversionStatus=CAN_NOT_CONVERT
certificateInfo = { keystore = <nombre de almacén de claves>
                                    managementScope = <ámbito de gestión>
		                    alias = <alias de certificado>
                                    reason = <razón por la que no puede convertirse el certificado>
		              } ...
{conversionStatus=MEET_SECURITY_STANDARD
certificateInfo = { keystore = <nombre de almacén de claves>
                                    managementScope = <ámbito de gestión>
		                    alias = <alias de certificado>
                                    reason = vacía si el certificado cumple el estándar de seguridad                              } ...

Ejemplos

  • Utilizando Jacl:
    wsadmin> $AdminTask convertCertForSecurityStandard {-fipsLevel FIPS140-2 -signatureAlgorithm 
    SHA256withRSA -keySize 2048 }
    
    {CAN_CONVERT {}} {CAN_NOT_CONVERT {}} {MEET_SECURITY_STANDARD {{keystore NodeDef
    aultRootStore} {managementScope (cell):testNode01Cell:(node):testNode01} {
    alias root} {reason {}}
    {keystore NodeDefaultKeyStore} {managementScope (cell):testNode01Cell:(node):
    testNode01} {alias default} {reason {}} }}

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rxml_fipscommands
File name: rxml_fipscommands.html