Groupe de commandes FIPSCommands pour l'objet AdminTask

Vous pouvez utiliser le langage de script Jython ou Jacl pour configurer la norme FIPS (Federal Information Processing Standards) avec l'outil wsadmin.

Le groupe de commandes FIPSCommands pour l'objet AdminTask inclut les commandes suivantes :

enableFips

La commande enableFips active ou désactive un niveau de sécurité spécifié.

Objet cible

Aucune.

Paramètres obligatoires.

-enableFips
Si cet indicateur est associé à la valeur true, la norme FIPS est activée au niveau de sécurité spécifié par d'autres paramètres. S'il est associé à la valeur false, la norme FIPS est désactivée et les autres paramètres sont ignorés. La valeur de ce paramètre est associée à la propriété personnalisée de sécurité com.ibm.security.useFIPS. (Valeur booléenne requise)

Paramètres facultatifs

-fipsLevel
Spécifie le niveau de la norme de sécurité à utiliser. (Chaîne, facultatif) Il n'existe pas de valeur par défaut. Les valeurs valides sont les suivantes :
FIPS140-2
Si cette valeur est définie, le système est configuré en vue de sa conformité avec le mode Fips 1402.
transition
Si cette valeur est définie, le système est configuré en vue de sa conformité avec le mode de transition de la norme SP800-131.
SP800-131
Si cette valeur est définie, le système est configuré en vue de sa conformité avec le mode strict de la norme SP800-131.

La valeur indiquée est définie par la propriété personnalisée de sécurité com.ibm.websphere.security.FIPSLevel.

Vous devez spécifier fipsLevel ou suiteBLevel.

-suiteBLevel
Spécifie le niveau de suiteBLevel. Il n'existe pas de valeur par défaut. La valeur indiquée est définie par la propriété personnalisée de sécurité com.ibm.websphere.security.suiteb. (Chaîne, optionnelle)
Les valeurs admises sont les suivantes :
  • 128 – si cette valeur est définie, le système est configuré en vue de sa conformité avec la norme Suite B 128.
  • 192 - si cette valeur est définie, le système est configuré en vue de sa conformité avec la norme Suite B 192.
-protocol
Définit le protocole pour la configuration Secure Sockets Layer (SSL). Ce paramètre est utilisé uniquement lorsque l'indicateur -fipsLevel est associé à la valeur transition. Pour les autres valeurs de fipsLevel, le protocole SSL est déjà défini dans la spécification. Les valeurs admises pour transition sont TLS, TLSv1.1 et TLSv1.2. La console d'administration n'affiche que TLS et TLSv1.2 comme valeurs admises. Vous pouvez spécifier TLS1.1 sur une ligne de commande. (Chaîne, optionnelle)

Valeurs renvoyées :

true (réussite) ou false (échec). Si la valeur renvoyée est false, la cause de l'échec est consignée dans le fichier System.Out.log.

Exemples

  • Utilisation d'une chaîne Jacl :
    $AdminTask enableFips {-enableFips true -fipsLevel transition }
    true

getFipsInfo

La commande getFipsInfo renvoie un élément attributeList avec le paramètre FIPS. Les paramètres sontfipsEnabled, fipsLevel et suiteBLevel.

Objet cible

Aucune.

Paramètres obligatoires.

Aucune.

Valeur renvoyée :

La commande getFipsInfo renvoie un élément attributeList avec le paramètre FIPS. Exemple : si la norme FIPS est désactivée, fipsLevel et suiteBLevel sont des chaînes vides. Exemple :
Tableau 1. Mode de sécurité et niveau FIPS
Mode de sécurité Valeurs renvoyées par getFipsInfo
Fips non activé

fipsEnabled=false
fipsLevel=(chaîne vide)
suiteBLevel=(chaîne vide)

FIPS140-2

ipsEnabled=true
fipsLevel=FIPS140-2
suiteBLevel=(chaîne vide)

SP800-131 - Transition

fipsEnabled=true
fipsLevel=transition
suiteBLevel=(chaîne vide)

SP800-131 - Strict

fipsEnabled=true
fipsLevel=SP800-131
suiteBLevel=(chaîne vide)

Suite B 128

fipsEnabled=true
fipsLevel=(chaîne vide)
suiteBLevel=128

Suite B 192

fipsEnabled=true
fipsLevel=(chaîne vide)
suiteBLevel=192

Exemples

  • Langage Jacl :
    $AdminTask getFipsInfo
    {fipsEnabled true} {fipsLevel SP800-131} {suiteBLevel {}}

listCertStatusForSecurityStandard

La commande listCertStatusForSecurityStandard renvoie tous les certificats utilisés par la configuration SSL et les plug-ins, et indique s'ils sont conformes au niveau de sécurité demandé.

Objet cible

Aucune.

Paramètres obligatoires.

Aucune.

Paramètres facultatifs

-suiteBLevel
Active ou désactive la norme FIPS. Il n'existe pas de valeur par défaut. Si l'indicateur a pour valeur true, la propriété personnalisée de sécurité com.ibm.security.useFips est associée à la valeur true. Si l'indicateur a pour valeur false, la propriété personnalisée de sécurité com.ibm.security.useFips est associée à la valeur false et les autres indicateurs sont ignorés. (Chaîne, optionnelle)
-fipsLevel
Spécifie le niveau de la norme de sécurité à utiliser. (Chaîne, facultatif) Il n'existe pas de valeur par défaut. Les valeurs valides sont les suivantes :
FIPS140-2
Si cette valeur est définie, le système est configuré en vue de sa conformité avec le mode Fips 1402.
transition
Si cette valeur est définie, le système est configuré en vue de sa conformité avec le mode de transition de la norme SP800-131.
SP800-131
Si cette valeur est définie, le système est configuré en vue de sa conformité avec le mode strict de la norme SP800-131.

La valeur indiquée est définie par la propriété personnalisée de sécurité com.ibm.websphere.security.FIPSLevel.

Vous devez spécifier fipsLevel ou suiteBLevel.

-suiteBLevel
Spécifie le niveau de suiteBLevel. Il n'existe pas de valeur par défaut. La valeur indiquée est définie par la propriété personnalisée de sécurité com.ibm.websphere.security.suiteb. (Chaîne, optionnelle)
Les valeurs admises sont les suivantes :
  • 128 – si cette valeur est définie, le système est configuré en vue de sa conformité avec la norme Suite B 128.
  • 192 - si cette valeur est définie, le système est configuré en vue de sa conformité avec la norme Suite B 192.

Valeur renvoyée :

Une liste attributeList comportant trois clés : CAN_NOT_CONVERT, CAN_CONVERT et MEET_SECURITY_LEVEL. Pour chaque clé, une liste attributeList est renvoyée. Une liste attributeList contient des informations de certificat : fichier de clés, portée de la gestion, alias et raison. Exemple :
{conversionStatus=CAN_NOT_CONVERT
   certificateInfo = { keystore = <keystore name>
                                     managementScope = <managementScope>
		                     alias = <certificate alias>
                                     reason = <reason why certificate can not be converted>
		                  } ...
{conversionStatus= CAN_CONVERT
  certificateInfo = { keystore = <keystore name>
                                    managementScope = <managementScope>
		                    alias = <certificate alias>
                                    reason = empty when certificate can be converted
                                  } ...
{conversionStatus=MEET_SECURITY_LEVEL
 certificateInfo = { keystore = <keystore name>
                                    managementScope = <managementScope>
		                    alias = <certificate alias>
                                    reason = empty when certificate already meets security level

Exemples

  • En langage Jython :
    wsadmin>$AdminTask listCertStatusForSecurityStandard {-fipsLevel SP800-131 -suiteBLevel 128 }
    
    {CAN_CONVERT {{keystore NodeDefaultKeyStore} {managementScope (cell):testNode
    01Cell:(node):testNode01} {alias default} {reason {Current SignatureAlgorithm
     is SHA256withRSA. SignatureAlgorithm needs to be one of [SHA256withECDSA] to be
     compliant with SP 800-131 - Suite B 128. }}
    {keystore NodeDefaultRootStore} {managementScope (cell):testNode01Cell:(node)
    :testNode01} {alias root} {reason {Current SignatureAlgorithm is SHA256withRS
    A. SignatureAlgorithm needs to be one of [SHA256withECDSA] to be compliant with
    SP 800-131 - Suite B 128. }} }} {CAN_NOT_CONVERT {}} {MEET_SECURITY_STANDARD {}}

convertCertForSecurityStandard

La commande convertCertForSecurityStandard convertit tous les certificats utilisés par la configuration SSL et les plug-ins.

Objet cible

Aucune.

Paramètres obligatoires.

Aucune.

Paramètres facultatifs

-fipsLevel
Spécifie le niveau de la norme de sécurité à utiliser. (Chaîne, facultatif) Il n'existe pas de valeur par défaut. Les valeurs valides sont les suivantes :
FIPS140-2
Si cette valeur est définie, le système est configuré en vue de sa conformité avec le mode Fips 1402.
transition
Si cette valeur est définie, le système est configuré en vue de sa conformité avec le mode de transition de la norme SP800-131.
SP800-131
Si cette valeur est définie, le système est configuré en vue de sa conformité avec le mode strict de la norme SP800-131.

La valeur indiquée est définie par la propriété personnalisée de sécurité com.ibm.websphere.security.FIPSLevel.

Vous devez spécifier fipsLevel ou suiteBLevel.

-suiteBLevel
Spécifie le niveau de suiteBLevel. Il n'existe pas de valeur par défaut. La valeur indiquée est définie par la propriété personnalisée de sécurité com.ibm.websphere.security.suiteb. (Chaîne, optionnelle)
Les valeurs admises sont les suivantes :
  • 128 – si cette valeur est définie, le système est configuré en vue de sa conformité avec la norme Suite B 128.
  • 192 - si cette valeur est définie, le système est configuré en vue de sa conformité avec la norme Suite B 192.
-signatureAlgorithem
Vérifie si l'algorithme de signature est conforme à FipsLevel et suiteB. Si tel est le cas, utilisez-le pour convertir les certificats. Sinon, utilisez un algorithme de signature conforme. (Chaîne, obligatoire)
-keySize
Vérifie si la taille de clé est conforme à FipsLevel et suiteB. Si tel est le cas, utilisez-la pour convertir les certificats. Sinon, utilisez la valeur minimale définie pour l'algorithme de signature.

Valeur renvoyée :

{conversionStatus=CAN_NOT_CONVERT
certificateInfo = {keystore = <keystore name>
                                    managementScope = <managementScope>
		                    alias = <certificate alias>
                                    reason = <reason why certificate can not be converted>
		              } ...
{conversionStatus=MEET_SECURITY_STANDARD
certificateInfo = {keystore = <keystore name>
                                    managementScope = <managementScope>
		                    alias = <certificate alias>
                                    reason = empty when certificate meets security standard.
                              } ...

Exemples

  • Langage Jacl :
    wsadmin> $AdminTask convertCertForSecurityStandard {-fipsLevel FIPS140-2 -signatureAlgorithm 
    SHA256withRSA -keySize 2048 }
    
    {CAN_CONVERT {}} {CAN_NOT_CONVERT {}} {MEET_SECURITY_STANDARD {{keystore NodeDef
    aultRootStore} {managementScope (cell):testNode01Cell:(node):testNode01} {
    alias root} {reason {}}
    {keystore NodeDefaultKeyStore} {managementScope (cell):testNode01Cell:(node):
    testNode01} {alias default} {reason {}} }}

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rxml_fipscommands
Nom du fichier : rxml_fipscommands.html