Configuración de la modalidad estricta del estándar SP800-131 en WebSphere Application Server

Puede configurar WebSphere Application Server para utilizar la modalidad estricta del estándar SP800-131.

Antes de empezar

Consulte el tema "Configuraciones de los estándares de seguridad de WebSphere Application Server" para obtener más información sobre los estándares de seguridad.

Acerca de esta tarea

El estándar 800-131 del NIST (National Institute of Standards and Technology) Special Publications (SP) refuerza los algoritmos y aumenta las longitudes de las claves para mejorar la seguridad. El estándar también proporciona un período de transición para adoptar el nuevo estándar. El período de transición permite que un usuario ejecute los sistemas en un entorno mixto de valores no admitidos en el estándar junto con los valores admitidos. El estándar NIST SP800-131 requiere que los usuarios configuren el entorno para aplicación estricta del estándar en un marco de tiempo específico. Consulte el sitio web de The National Institute of Standards and Technology para obtener más detalles.

WebSphere Application Server se puede configurar para ejecutar SP800-131 en una modalidad transition (transición) o en una modalidad strict (estricta). Para obtener instrucciones sobre cómo configurar la modalidad de transición, consulte el tema "Transición de WebSphere Application Server al estándar de seguridad SP800-131".

Para ejecutar en modalidad estricta, es necesario realizar varios cambios en la configuración del servidor:
  • La configuración de Secure Sockets Layer (SSL) debe utilizar el protocolo TLSv1.2.
  • La propiedad del sistema com.ibm.jsse2.sp800-131 debe establecerse en strict para que JSSE se ejecute en una modalidad SP800-131 estricta.
  • Los certificados utilizados para la comunicación SSL deben tener una longitud mínima de 2048, y para los certificados EC (Elliptical Curve) deben tener una longitud mínima de 244.
  • Los certificados deben firmarse con un algoritmo de firma de SHA256, SHA384 o SHA512.
  • Deben utilizarse las suites de cifrado aprobadas para SP800-131.
.
Importante: Las suites de algoritmos de firma soportados que utilizan SHA-256 deben aplicarse a la cadena de certificados completa. Es decir, los certificados deben firmarse con un algoritmo de firma SHA256, SHA384 o SHA512, y las suites de algoritmos de firma soportadas que utilizan SHA256, SHA384 o SHA512 deben aplicarse a la cadena de certificados completa.

Procedimiento

  1. Pulse Seguridad > Gestión de claves y certificados SSL > Gestionar FIPS Para ejecutar en una modalidad SP800-131 estricta, todos los certificados utilizados para SSL en el servidor deben convertirse a certificados que cumplan los requisitos SP800-131.
  2. Para convertir certificados, en Elementos relacionados, pulse Convertir certificados.
  3. Marque el botón de selección Estricto y elija el algoritmo de firma que va a utilizar al crear los nuevos certificados en el recuadro desplegable.
  4. Seleccione el tamaño del certificado en el recuadro desplegable Nuevo tamaño de clave de certificado.
    Nota: Si selecciona un algoritmo de firma Elliptical Curve, recuerde que éstos necesitan un tamaño específico; no puede rellenar un tamaño. Se utilizará el tamaño correcto.
  5. Si no se muestra ningún certificado en el recuadro Certificados que no se pueden convertir, pulse Aplicar/Guardar.
  6. Si se muestran certificados en el recuadro Certificados que no se pueden convertir, el servidor no puede convertir el certificado automáticamente. Debe sustituir estos certificados por los que cumplen los requisitos SP800-131. Las razones por las que el servidor no puede convertir un certificado son:
    • El certificado se ha creado mediante una Autoridad certificadora (CA)
    • El certificado está en un almacén de claves de sólo lectura.

    Una vez que los certificados se han convertido para cumplir la especificación SP800-131, realice los pasos siguientes para habilitar la modalidad estricta SP800-131.

  7. Pulse Gestión de claves y certificados SSL > Gestionar FIPS.
  8. Habilite el botón de selección Habilitar SP800-131.
  9. Habilite el botón de selección Estricto.
  10. Pulse Aplicar/Guardar.
  11. Reinicie los servidores y sincronice manualmente los nodos para que la modalidad estricta SP800-131 entre en vigor.

    Cuando se apliquen estos cambios, y se reinicie el servidor, todos los valores de la configuración SSL del servidor se modificarán para utilizar el protocolo TLSv1.2 y la propiedad del sistema com.ibm.jsse2.sp800-131 se establecerá en strict. La configuración SSL utiliza los cifrados SSL adecuados al estándar.

    Puede realizar diversas tareas de wsadmin para habilitar la modalidad estricta SP800-131 mediante scripts.
    • Compruebe el estado de los certificados para ver el estándar de seguridad mediante la tarea listCertStatusForSecurityStandard.
    • Convierta los certificados para obtener el estándar de seguridad mediante la tarea convertCertForSecurityStandard.
    • Habilite el estándar de seguridad mediante la tarea enableFips.
    • Para ver el valor del estándar de seguridad, utilice la tarea getFipsInfo.
  12. Una vez que el servidor se ha configurado para la modalidad estricta SP800-131, debe modificarse el archivo ssl.client.props de modo que el cliente administrativo se ejecute en la modalidad estricta SP800-131. No se puede realizar una conexión SSL con el servidor sin el cambio.
    Para editar el archivo ssl.client.props, realice lo siguiente:
    1. Modifique com.ibm.security.useFIPS de modo que se establezca en true.
    2. Añada com.ibm.websphere.security.FIPSLevel=SP800-131 después de la propiedad useFips.
    3. Cambie la propiedad com.ibm.ssl.protocol a TLSv1.2.

Qué hacer a continuación

La modalidad estricta del estándar SP800-131 requiere que la conexión SSL utilice el protocolo TLSv1.2. Para que un navegador acceda a la consola administrativa o a una aplicación, el navegador debe admitir el protocolo TLSv1.2 y debe primero configurarlo para poder utilizar dicho protocolo.
Avoid trouble Avoid trouble: Al habilitar los estándares de seguridad en una versión Network Deployment del producto, el nodo y el gestor de despliegue pueden estar en un estado de protocolo incompatible. Puesto que la configuración del estándar de seguridad requiere que el servidor se reinicie, se recomienda detener todos los agentes de nodo y servidores, y dejar el gestor de despliegue en ejecución. Una vez que se han realizado los cambios de configuración en la consola, reinicie el gestor de despliegue. gotcha

Sincronice manualmente los nodos con syncNode e inicie los agentes de nodo y los servidores. Para utilizar syncNode, debe actualizar el archivo ssl.client.props para comunicarse con el gestor de despliegue.


Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_config_strictsp300
File name: tsec_config_strictsp300.html