Configuration de WebSphere Application Server pour la norme de sécurité Suite B

Vous pouvez configurer WebSphere Application Server pour l'utilisation de la nouvelle norme de sécurité Suite B.

Avant de commencer

Read the "WebSphere Application Server security standards configurations" topic for more background information regarding security standards.

Pourquoi et quand exécuter cette tâche

L'organisme NSA (National Security Agency) a créé une stratégie d'interopérabilité cryptographique appelée Suite B. Elle impose des exigences spécifiques à la norme National Institute of Standards and Technology (NIST) SP800-131.

Exigences imposées par la norme Suite B :

WebSphere Application Server doit respecter les exigences suivantes imposées par la norme Suite B :
  • La configuration SSL doit utiliser le protocole TLSv1.2.
  • La propriété système com.ibm.jsse.suiteb doit être associée à la valeur 128 ou 192.
  • Les certificats s'exécutant en mode 128 bits doivent être créés avec l'algorithme de signature SHA256withECDSA. Les certificats s'exécutant en mode 192 bits doivent être créés avec l'algorithme de signature SHA384withECDSA.
    Remarque : Pour pouvoir être exécutés en mode 192 bits, les fichiers de règles sans restriction doivent se trouver sur le kit de développement Java (JDK).
  • Des algorithmes de chiffrement approuvés par la norme Suite B doivent être utilisés.

Afin de configurer le serveur pour la norme Suite B :

Procédure

  1. Cliquez sur Sécurité > Certificat SSL et gestion des clés > Gestion FIPS. Pour pouvoir être exécutés dans un mode de la norme Suite B, tous les certificats utilisés pour SSL sur le serveur doivent être convertis en certificats conformes aux exigences imposées par la norme Suite B.
  2. Pour convertir des certificats, sous Articles liés, cliquez sur Convertir les certificats.
  3. Sélectionnez le bouton radio intitulé 128 bits ou 192 bits dans la boîte Algorithme.
    Remarque : Les algorithmes de signature à courbe elliptique requièrent des tailles spécifiques ; par conséquent, vous devez indiquer une taille.
  4. Cliquez sur Valider/Sauvegarder. Si aucun certificat n'apparaît dans la boîte des certificats ne pouvant être convertis, vous pouvez activer la norme.
    Si des certificats sont répertoriés dans la boîte des certificates ne pouvant être convertis, le serveur ne peut pas convertir les certificats pour vous. Vous devez les replacer avec ceux qui répondent aux exigences de la norme Suite B. La raison pour laquelle le serveur ne peut pas convertir les certificats peut être l'une des suivantes :
    • Le certificat a été créé par une autorité de certification (CA).
    • Le certificat se trouve dans un fichier de clés en lecture seule.

    Une fois les certificats convertis pour répondre aux spécifications de la norme Suite B, effectuez les autres étapes permettant d'activer la norme Suite B.

  5. Cliquez sur Certificat SSL et gestion des clés > Gestion FIPS.
  6. Sélectionnez Activer Suite B : Accepter les clés 128 bits pour le mode 128 bits ou Suite B : Accepter les clés 192 bits pour le mode 192 bits.
  7. Cliquez sur Valider/Sauvegarder.
  8. Redémarrez les serveurs et synchronisez manuellement les noeuds pour que la norme Suite B soit appliquée.

    Une fois que ces modifications ont été appliquées et que le serveur est redémarré, les configurations SSL sur le serveur sont modifiées et utilisent le protocole TLSv1.2. De plus, la propriété système com.ibm.jsse.suiteb est associée au mode Suite B de votre choix. La configuration SSL utilise les chiffrements SSL appropriés à la norme.

    Des tâches wsadmin sont également disponibles pour l'activation de la norme Suite B à l'aide de scripts :
    • Vérifiez le statut des certificats pour la norme de sécurité avec la tâche listCertStatusForSecurityStandard.
    • Convertissez les certificats pour la norme de sécurité avec la tâche convertCertForSecurityStandard.
    • Activez la norme de sécurité avec la tâche enableFips.
    • Pour afficher les paramètres de la norme de sécurité, utilisez la tâche getFipsInfo.
  9. Une fois le serveur configuré pour le mode strict SP800-131, vous devez modifier le fichier ssl.client.props pour que les clients d'administration s'exécutent en mode strict SP800-131. Ils ne peuvent pas établir de connexion SSL au serveur sans cette modification. Editez le fichier ssl.client.props comme suit :
    1. Modifiez com.ibm.security.useFIPS en l'associant à la valeur true.
    2. Ajoutez la propriété com.ibm.jsse.suiteb et associez-la à la valeur 128 ou 192.
    3. Associez la propriété com.ibm.ssl.protocol à TLSv1.2.

Que faire ensuite

La norme Suite B requiert que la connexion SSL utilise le protocole TLSv1.2. Pour qu'un navigateur puisse accéder à la console d'administration ou à une application, il doit prendre en charge le protocole TLSv1.2 et être configuré pour l'utiliser.

Remarque : Lorsque vous activez les normes de sécurité dans un environnement déployé sur le réseau, il est possible que le noeud et le gestionnaire de déploiement se trouvent dans un état de protocole incompatible. Etant donné que la configuration de la norme de sécurité nécessite le redémarrage du serveur, il est recommandé que tous les agents de noeud et les serveurs soient arrêtés, pour que seul le gestionnaire de déploiement soit exécuté. Une fois les modifications apportées à la configuration dans la console, redémarrez le gestionnaire de déploiement.

Synchronisez manuellement les noeuds avec syncNode, et démarrez les agents de noeud et les serveurs. Pour pouvoir utiliser syncNode, vous devez mettre à jour le fichier ssl.client.props pour la communication avec le gestionnaire de déploiement.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_config_suiteb
Nom du fichier : tsec_config_suiteb.html