Configuration de fichiers JSSE (Java Secure Socket Extension) conformes à la norme FIPS
Cette rubrique vous permet de configurer les fichiers JSSE (Java™ Secure Socket Extension) conformes à la norme FIPS (Federal Information Processing Standard).
Pourquoi et quand exécuter cette tâche
- SSL_RSA_WITH_AES_128_CBC_SHA
- SSL_RSA_WITH_3DES_EDE_CBC_SHA
- SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA
- SSL_DHE_RSA_WITH_AES_128_CBC_SHA
- SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
- SSL_DHE_DSS_WITH_AES_128_CBC_SHA
- SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Lorsque vous activez l'option d'utilisation des algorithmes FIPS (Federal Information Processing Standard) dans le panneau de gestion des certificats SSL et des clés du serveur, la phase d'exécution utilise toujours IBMJSSE2, quel que soit le fournisseur contextProvider que vous spécifiez pour SSL (IBMJSSE ou IBMJSSE2S). Comme FIPS requiert que le protocole SSL soit TLS, la phase d'exécution utilise toujours TLS lorsque FIPS est activé, quels que soient les paramètres définis pour le protocole SSL dans le répertoire SSL. Cette disposition permet de simplifier la configuration FIPS dans Version 9.0 car l'administrateur n'a qu'à activer l'option d'utilisation des algorithmes FIPS (Federal Information Processing Standard) dans le panneau Communications sécurisées du serveur pour activer tous les transports à l'aide de SSL.
Procédure
Que faire ensuite
- Par défaut, TLS n'est pas activé dans Microsoft Internet Explorer. Pour activer TLS, ouvrez le navigateur Internet Explorer et cliquez sur Outils > Options Internet. Dans l'onglet Avancé, cochez l'option TLS 1.0. Remarque : Netscape version 4.7.x et antérieures risquent de ne pas gérer le protocole TLS.
- Lorsque vous sélectionnez l'option Utiliser la norme FIPS ((Federal Information Processing Standard) dans le panneau Sécurité globale, le format de jeton LTPA n'offre pas de compatibilité en amont avec les versions antérieures de WebSphere Application Server. Vous pouvez toutefois importer les clés LTPA à partir d'une version précédente du serveur d'applications.
- Remarque : En raison de la limitation WebSphere actuelle, la longueur des clés secrètes n'est pas évaluée par rapport à la conformité FIPS sp800-131a. Si des clés secrètes figurent dans le fichier de clés, vérifiez leur longueur en exécutant la commande iKeyman dans le répertoire {WebSphere_install_dir}\java\jre\bin ou en utilisant d'autres outils de fichiers de clés.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
ADMU3007E: Exception com.ibm.websphere.management.exception.ConnectorException
Supprimez la mise en commentaire de l'entrée suivante du fichier java.security, si elle a été supprimée ou commentée, puis redémarrez le serveur :security.provider.2=com.ibm.crypto.provider.IBMJCE
- IBMJCEFIPS (certificat 376)
- IBM Cryptography pour langage C (ICC) (certificat 384)
- Dans le fichier ssl.client.props, vous devez modifier la valeur com.ibm.security.useFIPS et la faire passer à false.
Dans le fichier java.security, vous devez remplacer le fournisseur FIPS par un fournisseur non-FIPS.
Si vous utilisez le fichier java.security d'IBM SDK, vous devez remplacer le premier fournisseur par un fournisseur non FIPS comme indiqué dans l'exemple suivant :#security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.1=com.ibm.crypto.provider.IBMJCE security.provider.2=com.ibm.jsse.IBMJSSEProvider security.provider.3=com.ibm.jsse2.IBMJSSEProvider2 security.provider.4=com.ibm.security.jgss.IBMJGSSProvider security.provider.5=com.ibm.security.cert.IBMCertPath #security.provider.6=com.ibm.crypto.pkcs11.provider.IBMPKCS11
Si vous utilisez le fichier java.security de Sun SDK, vous devez remplacer le troisième fournisseur par un fournisseur non FIPS comme l'illustre l'exemple suivant :security.provider.1=sun.security.provider.Sun security.provider.2=com.ibm.security.jgss.IBMJGSSProvider security.provider.3=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.4=com.ibm.crypto.provider.IBMJCE security.provider.5=com.ibm.jsse.IBMJSSEProvider security.provider.6=com.ibm.jsse2.IBMJSSEProvider2 security.provider.7=com.ibm.security.cert.IBMCertPath #security.provider.8=com.ibm.crypto.pkcs11.provider.IBMPKCS11
Editez le fichier java.security afin de supprimer le fournisseur FIPS de la liste des fournisseurs et renuméroter les fournisseurs comme dans l'exemple suivant :
security.provider.1=sun.security.provider.Sun #security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.2=com.ibm.crypto.provider.IBMJCE security.provider.3=com.ibm.jsse.IBMJSSEProvider security.provider.4=com.ibm.jsse2.IBMJSSEProvider2 security.provider.5=com.ibm.security.jgss.IBMJGSSProvider security.provider.6=com.ibm.security.cert.IBMCertPath security.provider.7=com.ibm.i5os.jsse.JSSEProvider #security.provider.8=com.ibm.crypto.pkcs11.provider.IBMPKCS11 security.provider.8=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
![[z/OS]](../images/ngzos.gif)
- Spécifiez le niveau Moyen pour l'algorithme de cryptographie, si son
niveau est actuellement Fort.
Eviter les incidents: Vous pouvez modifier le niveau de votre algorithme de cryptographie pour différents niveaux de votre environnement (par exemple, au niveau du noeud ou du serveur). Limitez la modification au niveau de votre environnement où la modification est nécessaire.gotcha
Pour modifier le niveau de l'algorithme de cryptographie, reportez-vous aux informations sur les groupes d'algorithmes de cryptographie dans la documentation sur la qualité des paramètres de protection. Si vous spécifiez le niveau Moyen pour l'algorithme de cryptographie, sauvegardez et synchronisez les modifications. Si l'option Mettre à jour dynamiquement l'exécution lorsque des modifications de la configuration SSL surviennent est sélectionnée, vous n'avez pas besoin de redémarrer le serveur. Toutefois, si cette option n'est pas sélectionnée, vous devez redémarrer le serveur pour que les modifications soient prises en compte. L'option Mettre à jour dynamiquement l'exécution lorsque des modifications de la configuration SSL surviennent est disponible dans le panneau Gestion des certificats SSL et des clés de la console d'administration. Pour accéder à ce panneau, cliquez sur .
- Installez le niveau de sécurité 3 FMID JCPT3A1 pour le système d'exploitation z/OS.
Le niveau de sécurité 3 FMID JCPT3A1 correspond à l'implémentation du système d'exploitation z/OS des fournisseurs cryptographiques approuvés FIPS 140-2.