Configuration de WebSphere Application Server pour le mode strict de la norme SP800-131

Vous pouvez configurer WebSphere Application Server en vue de l'utilisation du mode strict de la norme SP800-131.

Avant de commencer

Read the "WebSphere Application Server security standards configurations" topic for more background information regarding security standards.

Pourquoi et quand exécuter cette tâche

La norme National Institute of Standards and Technology (NIST) Special Publications (SP) 800-131 renforce les algorithmes et augmente les longueurs de clé afin d'améliorer la sécurité. Elle offre également une période de transition permettant de passer à la nouvelle norme. La période de transition permet à un utilisateur de travailler dans un environnement mixte de paramètres non pris en charge par la norme et de paramètres pris en charge. La norme NIST SP800-131 requiert que les utilisateurs soient configurés pour son application stricte dans un délai spécifique. Consultez le site Web The National Institute of Standards and Technology pour plus de détails.

Vous pouvez configurer WebSphere Application Server pour l'exécution de SP800-131 en mode transition ou en mode strict. Pour des instructions de configuration du mode transition, lisez la rubrique "Transition de WebSphere Application Server vers la norme de sécurité SP800-131".

Pour une exécution en mode strict, vous devez apporter plusieurs modifications à la configuration du serveur :
  • La configuration Secure Sockets Layer (SSL) doit utiliser le protocole TLSv1.2.
  • La propriété système com.ibm.jsse2.sp800-131 doit être associée à la valeur strict pour que JSSE s'exécute en mode SP800-131 strict.
  • La longueur des certificats utilisés pour la communication SSL doit être d'au moins 2048 et celle des certificats à courbe elliptique d'au moins 244.
  • Les certificats doivent être signés à l'aide d'un algorithme de signature SHA256, SHA384 ou SHA512.
  • Des algorithmes de chiffrement approuvés par la norme SP800-131 doivent être utilisés.
.
Important : Les suites d'algorithme de signature pris en charge utilisant SHA-256 doivent s'appliquer à la totalité de la chaîne de certificat. Les certificats doivent être signés à l'aide d'un algorithme de signature SHA256, SHA384 ou SHA512, et les suites d'algorithme de signature pris en charge utilisant SHA256, SHA384 ou SHA512 doivent s'appliquer à la totalité de la chaîne de certificat.

Procédure

  1. Cliquez sur Sécurité> Certificats SSL et gestion des clés > Gestion FIPS Pour pouvoir être exécutés dans le mode strict de la norme SP800-131, tous les certificats utilisés pour SSL sur le serveur doivent être convertis en certificats conformes aux exigences imposées par la norme SP800-131.
  2. Pour convertir des certificats, sous Articles liés, cliquez sur Convertir les certificats.
  3. Sélectionnez le bouton radio Strict, et choisissez signatureAlgorithm pour la création de nouveaux certificats dans la liste déroulante.
  4. Sélectionnez la taille du certificat dans la liste déroulante intitulée Nouvelle taille de clé des certificats.
    Remarque : Si vous choisissez un algorithme de signature à courbe elliptique, ceux-ci utilisent des tailles spécifiques et vous ne pouvez pas indiquer de taille vous-même. La taille appropriée est utilisée automatiquement.
  5. Si aucun certificat n'apparaît dans la boîte intitulée Certificates that can not be converted, cliquez sur Valider/Sauvegarder.
  6. Si des certificats apparaissent dans la boîte intitulée Certificates that can not be converted, le serveur ne peut pas convertir le certificat pour vous. Vous devez replacer ces certificats avec ceux qui répondent aux exigences de la norme SP800-131. Les raisons pour lesquelles le serveur ne peut pas convertir un certificat pour vous peuvent être les suivantes :
    • Le certificat a été créé par une autorité de certification (CA).
    • Le certificat se trouve dans un fichier de clés en lecture seule.

    Une fois les certificats convertis pour répondre aux spécifications de la norme SP800-131, effectuez les étapes ci-dessous pour activer le mode strict de la norme SP800-131.

  7. Cliquez sur Certificats SSL et gestion des clés > Gestion FIPS.
  8. Sélectionnez le bouton radio intitulé Activer SP800-131.
  9. Sélectionnez le bouton radio intitulé Strict.
  10. Cliquez sur Valider/Sauvegarder.
  11. Redémarrez les serveurs et synchronisez manuellement les noeuds pour que le mode strict de la norme SP800-131 soit appliqué.

    Une fois que ces modifications ont été appliquées et que le serveur est redémarré, toutes les configurations SSL sur le serveur sont modifiées en vue de l'utilisation du protocole TLSv1.2 et la propriété système com.ibm.jsse2.sp800-131 est associée à strict. La configuration SSL utilise les chiffrements SSL appropriés à la norme.

    Vous pouvez utiliser plusieurs tâches wsadmin pour activer le mode strict de la norme SP800-131 avec des scripts :
    • Vérifiez le statut des certificats pour la norme de sécurité avec la tâche listCertStatusForSecurityStandard.
    • Convertissez les certificats pour la norme de sécurité avec la tâche convertCertForSecurityStandard.
    • Activez la norme de sécurité avec la tâche enableFips.
    • Pour afficher les paramètres de la norme de sécurité, utilisez la tâche getFipsInfo.
  12. Une fois le serveur configuré pour le mode strict SP800-131, vous devez modifier le fichier ssl.client.props pour que les clients d'administration s'exécutent en mode strict SP800-131. Ils ne peuvent pas établir de connexion SSL au serveur sans cette modification.
    Editez le fichier ssl.client.props comme suit :
    1. Modifiez com.ibm.security.useFIPS en l'associant à la valeur true.
    2. Ajoutez com.ibm.websphere.security.FIPSLevel=SP800-131 après la propriété useFips.
    3. Associez la propriété com.ibm.ssl.protocol à TLSv1.2.

Que faire ensuite

Le mode strict de la norme SP800-131 requiert que la connexion SSL utilise le protocole TLSv1.2. Pour qu'un navigateur puisse accéder à la console d'administration ou à une application, il doit prendre en charge le protocole TLSv1.2 et être configuré pour l'utiliser.
Eviter les incidents Eviter les incidents: Lorsque vous activez les normes de sécurité dans un environnement de déploiement réseau, il est possible que le noeud et le gestionnaire de déploiement se trouvent dans un état de protocole incompatible. Etant donné que la configuration de la norme de sécurité nécessite le redémarrage du serveur, il est recommandé que tous les agents de noeud et les serveurs soient arrêtés, pour que seul le gestionnaire de déploiement soit exécuté. Une fois les modifications apportées à la configuration dans la console, redémarrez le gestionnaire de déploiement.gotcha

Synchronisez manuellement les noeuds avec syncNode, et démarrez les agents de noeud et les serveurs. Pour pouvoir utiliser syncNode, vous devez mettre à jour le fichier ssl.client.props pour la communication avec le gestionnaire de déploiement.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_config_strictsp300
Nom du fichier : tsec_config_strictsp300.html