Transition de WebSphere Application Server vers la norme de sécurité SP800-131

La norme National Institute of Standards and Technology (NIST) Special Publications 800-131 renforce les algorithmes et augmente les longueurs de clé afin d'améliorer la sécurité. Elle offre également une période de transition permettant de passer à la nouvelle norme. Vous pouvez configurer WebSphere Application Server pour le mode de transition de la norme SP800-131.

Avant de commencer

Read the "WebSphere Application Server security standards configurations" topic for more background information regarding security standards.

Pourquoi et quand exécuter cette tâche

La période de transition permet à un utilisateur de travailler dans un environnement mixte de paramètres non pris en charge par la norme et de paramètres pris en charge. La norme NIST SP800-131 requiert que les utilisateurs soient configurés pour son application stricte dans un délai spécifique. Consultez le site Web The National Institute of Standards and Technology pour plus de détails.

Les options de transition peuvent être très utiles pour passer au mode strict de la norme SP800-131. Les serveurs peuvent accepter une combinaison des anciens paramètres et des nouvelles exigences. Par exemple, ils peuvent convertir des certificats mais continuer d'utiliser le protocole TLS.

Vous pouvez configurer WebSphere Application Server pour l'exécution de SP800-131 en mode transition ou en mode strict. Pour des informations sur la configuration du mode strict, lisez la rubrique "Configuration de WebSphere Application Server pour le mode strict de la norme de sécurité SP800-131".

Pour pouvoir s'exécuter dans le mode de transition de la norme SP800-131, le serveur doit également se trouver dans une configuration spécifique. D'autres exigences du mode strict peuvent être incluses, en fonction des besoins.
  • La propriété système com.ibm.jsse2.sp800-131 doit être associée à la valeur transition pour que JSSE s'exécute en mode de transition.
  • Les protocoles de configuration SSL doivent correspondre à l'un des paramètres TLS. Les valeurs admises sont TLS, TLSv1, TLSv1.1 et TLSv1.2.

Procédure

  1. Cliquez sur Sécurité Certificat SSL et gestion des clés Gestion FIPS.
  2. Sélectionnez le bouton radio Activer SP800-131.
  3. Sélectionnez le bouton radio Transition.
  4. Vous pouvez remplacer les protocoles dans la configuration SSL par TLSv1.2 en sélectionnant, en option, la case Mettre à jour les configurations SSL pour imposer TLSv1.2. Si vous ne cochez pas cette case, toutes les configurations SSL sont associées à TLS.
  5. Cliquez sur Valider/Sauvegarder.
  6. Redémarrez les serveurs. Si votre serveur est activé avec Dynamic SSL Updating, éditez le fichier ssl.client.props et modifiez la propriété com.ibm.ssl.protocol pour avoir le même protocole configuré pour le serveur avant de redémarrer le serveur.

    Une fois que ces modifications ont été appliquées et que le serveur est redémarré, toutes les configurations SSL sur le serveur sont modifiées en vue de l'utilisation du protocole TLS ou TLSv1.2, et la propriété système com.ibm.jsse2.sp800-131 est associée à transition. La configuration SSL utilise les chiffrements SSL appropriés à la norme.

    Pour que vous puissiez utiliser un certificat en mode strict, le protocole de la configuration doit répondre aux exigences du mode strict.

    Vous pouvez accéder directement à la configuration SSL et associer les protocoles à TLSv1.2 comme suit :

  7. Cliquez sur SécuritéCertificat SSL et gestion des clésConfigurations SSL.
  8. Sélectionnez une configuration SSL dans le panneau de collection.
  9. Sous Articles liés, sélectionnez Qualité de protection (QoP).
  10. Sélectionnez TLSv1.2 dans la liste déroulante intitulée Protocole.
  11. Cliquez sur Valider/Sauvegarder. Pour changer le protocole SSL à l'aide d'un script, utilisez la tâche modifySSLConfig.

    Les certificats doivent avoir une taille de 2048 au moins (244 pour un certificat à courbe elliptique) et être signés avec SHA256, SHA384 ou SHA512. Vous pouvez créer des certificats dans la console et remplacer l'ancien certificat, ou importer des certificats répondant aux exigences imposées par les normes.

    Vous pouvez remplacer les certificats de plusieurs façons.
    • Utilisez le panneau de conversion des certificats. Il permet de convertir tous les certificats pour qu'ils soient conformes à la norme spécifiée.
      1. Cliquez sur SécuritéCertificat SSL et gestion des clésGestion FIPSConvertir les certificats.
        Remarque : Si un certificat ne pouvant pas être converti apparaît dans la boîte libellée Certificats, vous ne pouvez pas convertir les certificats avec cette option.
      2. Sélectionnez le bouton radio Strict et choisissez signatureAlgorithm pour créer les nouveaux certificats dans la liste déroulante.
      3. Sélectionnez la taille du certificat dans la liste déroulante intitulée Nouvelle taille de clé des certificats. Les algorithmes de signature à courbe elliptique requièrent une taille spécifique ; par conséquent, il n'est pas nécessaire d'en indiquer une.
      4. Cliquez sur Valider/Sauvegarder.

        La tâche de script convertCertForSecurityStandard peut également être utilisée pour convertir tous les certificats afin qu'ils correspondent à une norme spécifiée.

    • Utilisez les panneaux de certificat personnel pour créer des certificats et remplacer un certificat qui ne satisfait pas les exigences comme suit :
      1. Cliquez sur Sécurité Certificat SSL et gestion des clés Fichiers de clés et certificats.
      2. Sélectionnez un fichier de clés dans le panneau de collection.
      3. Sélectionnez Certificat personnel.
        1. Dans la liste déroulante du bouton Créer, sélectionnez Certificat d'auto-signature.
        2. Entrez un alias pour le certificat. Sélectionnez un algorithme de signature pour le certificat signé avec SHA256, SHA384 ou SHA512. Choisissez une taille de 2048 ou plus. Les algorithmes de signature à courbe elliptique requièrent une taille spécifique ; par conséquent, il n'est pas nécessaire d'en indiquer une.
        3. Cliquez sur Valider/Sauvegarder.
        4. Revenez au panneau de collection Certificat personnel et sélectionnez le certificat qui ne satisfait pas les exigences de la norme. Cliquez sur Remplacer.
        5. Dans le panneau de remplacement, sélectionnez le certificat créé qui répond aux exigences de la norme dans la liste déroulante de la boîte intitulée Remplacer par.
        6. Sélectionnez les cases Supprimer l'ancien certificat après le remplacement et Supprimer les anciens signataires.
        7. Cliquez sur Valider/Sauvegarder.
          Remarque : Pour que vous puissiez remplacer des certificats chaînés, un certificat racine créé doit satisfaire les exigences de la norme. Suivez les instructions précédentes sur le certificat racine dans defaultRootStore, puis créez un certificat chaîné avec ce nouveau certificat racine.

          La tâche de script createSelfSigneCertificate peut également être utilisée pour créer un certificat autosigné. La tâche de script replaceCertificate peut également être utilisé pour remplacer le nouveau certificat par l'ancien.

    • Utilisez les panneaux de certificat personnel pour importer des certificats et remplacer le certificat qui ne satisfait pas les exigences. Certains certificats proviennent de sources externes telles qu'une autorité de certification (CA).
      1. Cliquez sur Sécurité Certificat SSL et gestion des clés Fichiers de clés et certificats.
      2. Sélectionnez un fichier de clés dans le panneau de collection.
      3. Sélectionnez Certificat personnel.
        1. Sélectionnez Importer un certificat.
        2. Indiquez les informations nécessaires pour accéder au certificat dans un fichier de clés existant.
        3. Cliquez sur Valider/Sauvegarder.
        4. Revenez au panneau de collection Certificat personnel et sélectionnez le certificat qui ne satisfait pas les exigences de la norme. Cliquez sur le bouton Remplacer.
        5. Dans le panneau de remplacement, sélectionnez le certificat créé qui répond aux exigences de la norme dans la liste déroulante de la boîte intitulée Remplacer par. Sélectionnez les cases Supprimer l'ancien certificat après le remplacement et Supprimer les anciens signataires.
        6. Cliquez sur Valider/Sauvegarder.

          La tâche de script importCertificate peut également être utilisé pour importer un certificat. La tâche de script replaceCertificate peut également être utilisé pour remplacer le nouveau certificat par l'ancien.

  12. Pour activer SP800-131 strict, cliquez sur SécuritéCertificat SSL et gestion des clésGestion FIPS.
  13. Cliquez sur Activer SP800-131.
  14. Cliquez sur Strict.
  15. Cliquez sur Valider/Sauvegarder.
  16. Redémarrez vos serveurs et synchronisez manuellement vos noeuds pour appliquer les modifications. Pour synchroniser manuellement les noeuds dont vous pouvez avoir besoin pour modifier le fichier ssl.client.props pour chaque noeud afin de correspondre au protocole du gestionnaire de déploiement. Editez le fichier ssl.client.props pour chaque noeud et modifiez la propriété com.ibm.ssl.protocol pour correspondre au protocole du gestionnaire de déploiement pour autoriser un noeud de synchronisation manuelle .
  17. Configurez le fichier client ssl.client.props pour correspondre à la norme de sécurité que vous exécutez en mode strict ou mode de transition.
    Editez le fichier ssl.client.props comme suit :
    1. Modifiez la propriété com.ibm.security.useFIPS pour qu'elle soit définie sur true.
    2. Ajoutez la propriété com.ibm.websphere.security.FIPSLevel juste après la propriété useFips. Définissez la propriété sur SP800-131 si le mode strict est activé et transition si le mode de transition est activé.
    3. Modifiez la propriété com.ibm.ssl.protocol sur TLSv1.2 si le mode strict est activé. Si le mode de transition est activé, assurez-vous que la propriété correspond au paramètre du protocole du serveur.
  18. Redémarrez vos serveurs et synchronisez manuellement vos noeuds.

    Vos modifications ne sont pas appliquées tant que les noeuds n'ont pas été synchronisés.

    Si vous travaillez dans un environnement de cluster :

    1. Vérifiez que la console d'administration est fermée.
    2. Vérifiez qu'aucune machine virtuelle Java ne s'exécute sur le serveur :
      • Arrêtez tous les serveurs.
      • Arrêtez l'agent de noeud.
      • Arrêtez le gestionnaire de déploiement.
    3. Effacez le contenu des dossiers temp :
      <profile_root>/wstemp/
      <profile_root>/temp/
      <profile_root>/config/temp/
      <profile_root>/logs/dmgr/
      <profile_root>/servers/nodeagent/configuration/
      <profile_root>/servers/<server_name>/configuration/
    4. Initialisez la configuration OSGI en exécutant osgiCfgInit.
      was_profile_root/profile/bin/osgiCfgInit.bat
      Profile is your dmgr01/bin profile.
    5. Effacez le cache de classe OSGI en exécutant clearClassCache.
      was_profile_root/profile_name/bin/clearClassCache.bat

      nom_profil est votre profil dmgr01/bin.

    1. Démarrez le gestionnaire de déploiement.
    1. Synchronisez manuellement les noeuds.
      1. Démarrez l'outil wsadmin s'il ne l'est pas déjà.
      2. Depuis was_home/profiles/nom_profil/bin, émettez la commande syncNode suivante :
        syncNode
        dmgr_host dmgr_port 

        nom_profil est votre profil dmgr01/bin.

        Si la sécurité est activée, incluez les paramètres -username et -password lorsque vous émettez cette commande :
        syncNode
        dmgr_host dmgr_port -username user_name -password
        pass_word 
    2. Démarrez l'agent de noeud.
    3. Démarrez tous les autres serveurs.

Que faire ensuite

Le navigateur utilisé pour accéder à la console d'administration ou à une application doit utiliser un protocole compatible avec le serveur. Si le serveur s'exécute en mode transition, le navigateur doit être défini pour utiliser le protocole correspondant à ce serveur. La norme SP800-131 requiert que la connexion SSL utilise le protocole TLSv1.2 ; par conséquent, le navigateur doit prendre en charge TLSv1.2 et l'utiliser pour accéder à la console d'administration.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_transition_sp300
Nom du fichier : tsec_transition_sp300.html