Configuración del estándar de seguridad Suite B en WebSphere Application Server

Puede configurar WebSphere Application Server para que utilice el nuevo estándar de seguridad Suite B.

Antes de empezar

Consulte el tema "Configuraciones de los estándares de seguridad de WebSphere Application Server" para obtener más información sobre los estándares de seguridad.

Acerca de esta tarea

La agencia National Security Agency (NSA) ha creado una estrategia de interoperatividad criptográfica llamada Suite B. Impone requisitos específicos en el estándar SP800-131 del National Institute of Standards and Technology (NIST).

Requisitos de Suite B:

WebSphere Application Server debe ser compatible con los requisitos de Suite B siguientes:
  • La configuración SSL debe utilizar el protocolo TLSv1.2.
  • La propiedad del sistema com.ibm.jsse.suiteb debe establecerse en 128 o 192.
  • Los certificados que se ejecutan en la modalidad de 128 bits deben crearse con el algoritmo de firma SHA256withECDSA. Los certificados que se ejecutan en la modalidad de 192 bits deben crearse con el algoritmo de firma SHA384withECDSA.
    Nota: Para ejecutar en la modalidad de 192 bits, los archivos de políticas sin restricciones deben estar en el sitio adecuado en el JDK.
  • Deben utilizarse las suites de cifrado aprobadas para Suite B.

Para configurar el servidor para el estándar Suite B:

Procedimiento

  1. Pulse Seguridad > Gestión de claves y certificados SSL > Gestionar FIPS Para ejecutar en una modalidad Suite B, todos los certificados utilizados para SSL en el servidor deben convertirse a certificados que cumplan los requisitos de Suite B.
  2. Para convertir certificados, en Elementos relacionados, pulse Convertir certificados.
  3. Seleccione el botón de selección 128 bits o 192 bits en el recuadro Algoritmo.
    Nota: Los algoritmos de firma Elliptical Curve necesitan un tamaño específico, por lo que debe proporcionar un tamaño.
  4. Pulse Aplicar/Guardar. Si no se muestra ningún certificado en el recuadro Certificados que no se pueden convertir, podrá habilitar el estándar.
    Si se muestran certificados en el recuadro Certificados que no se pueden convertir, el servidor no puede convertir los certificados automáticamente. Debe sustituir estos certificados por los que cumplen los requisitos de Suite B. Las razones por las que el servidor no puede convertir los certificados pueden incluir:
    • El certificado se ha creado mediante una Autoridad certificadora (CA).
    • El certificado está en un almacén de claves de sólo lectura.

    Una vez convertidos los certificados para cumplir las especificaciones de Suite B, realice los siguientes pasos para habilitar el estándar Suite B.

  5. Pulse Gestión de claves y certificados SSL > Gestionar FIPS.
  6. Seleccione Suite B: aceptar claves de 128 bits para la modalidad de 128 bits o Suite B: aceptar claves de 192 bits para la modalidad de 192 bits.
  7. Pulse Aplicar/Guardar.
  8. Reinicie los servidores y sincronice manualmente los nodos para que el estándar Suite B entre en vigor.

    Cuando se apliquen estos cambios, y se reinicie el servidor, las configuraciones SSL en el servidor se modificarán para utilizar el protocolo TLSv1.2, y la propiedad del sistema com.ibm.jsse.suiteb se establecerá en la modalidad Suite B deseada. La configuración SSL utiliza los cifrados SSL adecuados al estándar.

    También puede realizar tareas de wsadmin que pueden habilitar el estándar Suite B mediante scripts:
    • Compruebe el estado de los certificados para ver el estándar de seguridad mediante la tarea listCertStatusForSecurityStandard.
    • Convierta los certificados para obtener el estándar de seguridad mediante la tarea convertCertForSecurityStandard.
    • Habilite el estándar de seguridad mediante la tarea enableFips.
    • Para ver el valor del estándar de seguridad, utilice la tarea getFipsInfo.
  9. Una vez que el servidor se ha configurado para la modalidad estricta SP800-131, debe modificarse el archivo ssl.client.props de modo que los clientes administrativos se ejecuten en la modalidad estricta SP800-131. No se puede realizar una conexión SSL con el servidor con el cambio. Para editar el archivo ssl.client.props, realice lo siguiente:
    1. Modifique com.ibm.security.useFIPS de modo que se establezca en true.
    2. Añada la propiedad com.ibm.jsse.suiteb y establézcala en 128 o 192.
    3. Cambie la propiedad com.ibm.ssl.protocol a TLSv1.2.

Qué hacer a continuación

El estándar Suite B requiere que la conexión SSL utilice el protocolo TLSv1.2. Para que un navegador acceda a la consola administrativa o a una aplicación, el navegador debe admitir el protocolo TLSv1.2 y debe primero configurarlo para poder utilizar dicho protocolo.

Nota: Al habilitar los estándares de seguridad en un entorno Network Deployed, el nodo y el gestor de despliegue pueden estar en un estado de protocolo incompatible. Puesto que la configuración del estándar de seguridad requiere que el servidor se reinicie, se recomienda detener todos los agentes de nodo y servidores, y dejar el gestor de despliegue en ejecución. Una vez que se han realizado los cambios de configuración en la consola, reinicie el gestor de despliegue.

Sincronice manualmente los nodos con syncNode e inicie los agentes de nodo y los servidores. Para utilizar syncNode, debe actualizar el archivo ssl.client.props para comunicarse con el gestor de despliegue.


Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_config_suiteb
File name: tsec_config_suiteb.html