SP800-131 標準 strict モードを使用するように、WebSphere® Application
Server を構成できます。
始める前に
セキュリティー標準に関する背景情報について詳しくは、『WebSphere Application Server のセキュリティー標準構成』のトピックを参照してください。
このタスクについて
米国連邦情報・技術局 (NIST) の特別出版物 (SP) 800-131 標準は、セキュリティーを改善するためにアルゴリズムを強化し、鍵の長さを増しています。この標準では、新しい標準に移行するための移行期間も設定されています。この移行期間により、ユーザーは、この標準の下でサポートされない設定とサポートされる設定が混在した環境で実行できるようになります。NIST SP800-131 標準では、ユーザーは特定の時間フレームでの標準の厳格な実施のために構成されていることが要求されます。詳しくは、米国連邦情報・技術局の Web サイトを参照してください。
WebSphere Application
Server は、SP800-131 を transition モードまたは strict モードで実行するように構成できます。transition モードの構成方法については、トピック『WebSphere Application Server の SP800-131セキュリティー標準の移行』を参照してください。
strict モードで実行するには、サーバー構成にいくつかの変更が必要になります。
- Secure Sockets Layer (SSL) 構成では TLSv1.2 プロトコルを使用する必要があります。
- JSSE を SP800-131 の strict モードで実行するには、com.ibm.jsse2.sp800-131 システム・プロパティーを strict に設定する必要があります。
- SSL 通信に使用する証明書には少なくとも 2048 の長さが必要で、楕円曲線 (EC) 証明書には少なくとも 244 の長さが必要です。
- 証明書は、署名アルゴリズム SHA256、SHA384、または SHA512 で署名する必要があります。
- SP800-131 承認の暗号スイートを使用する必要があります。
.
重要: SHA-256 を使用するサポート対象の署名アルゴリズム・スイートを、証明書チェーン全体に適用する必要があります。つまり、証明書には署名アルゴリズム SHA256、SHA384、または SHA512 で署名する必要があり、さらに SHA256、SHA384、または SHA512 を使用するサポート対象の署名アルゴリズム・スイートを証明書チェーン全体に適用する必要があります。
手順
- 「セキュリティー」>「SSL 証明書および鍵管理」>「FIPS の管理」とクリックします。 SP800-131 の strict モードで実行するには、サーバー上で SSL に使用されるすべての証明書を、SP800-131 要件に準拠する証明書に変換する必要があります。
- 証明書を変換するには、「関連項目」の下で「証明書の変換」をクリックします。
- Strict と表示されたラジオ・ボタンを選択し、新規証明書の作成時に使用する署名アルゴリズムをプルダウン・ボックスから選択します。
- 証明書のサイズを「新規証明書鍵サイズ」というラベルのプルダウン・ボックスから選択します。
注: 楕円曲線署名アルゴリズムを選択した場合は、特定のサイズが必要であり、サイズを入力できません。代わりに適切なサイズが使用されます。
- 「変換できない証明書」というラベルのボックスに証明書が表示されていない場合は、「適用/保存」をクリックします。
- 「変換できない証明書」というラベルのボックスに証明書が表示されている場合は、サーバーがユーザーのために証明書を変換できません。こうした証明書は、SP800-131 要件を満たすものでユーザーが置き換える必要があります。 サーバーが証明書を変換できない理由には、以下のものがあります。
- 証明書が認証局 (CA) によって作成されたものである
- 証明書が読み取り専用鍵ストアにある
証明書が SP800-131 仕様を満たすように変換されたら、以下のステップを行って、SP800-131 の strict モードを使用可能にします。
- 「SSL 証明書および鍵管理」>「FIPS の管理」とクリックします。
- 「SP800-131 を使用可能にする」というラベルのラジオ・ボタンを使用可能にします。
- 「Strict」というラベルのラジオ・ボタンを使用可能にします。
- 「適用/保存」をクリックします。
- サーバーを再始動し、ノードを手動で同期して、SP800-131 strict モードが有効となるようにします。
こうした変更が適用され、サーバーが再始動すると、サーバー上のすべての SSL 構成が TLSv1.2 プロトコルを使用するように変更され、com.ibm.jsse2.sp800-131 システム・プロパティーが strict に設定されます。SSL 構成では、標準用に適切な SSL 暗号が使用されます。
スクリプトを使用して strict SP800-131 を使用可能にするために使用できる wsadmin タスクがいくつかあります。
- セキュリティー標準用に証明書の状況を確認するには、listCertStatusForSecurityStandard タスクを使用します。
- セキュリティー標準用に証明書を変換するには、convertCertForSecurityStandard タスクを使用します。
- セキュリティー標準を使用可能にするには、enableFips タスクを使用します。
- セキュリティー標準設定を表示するには、getFipsInfo タスクを使用します。
- サーバーが SP800-131 strict モード用に構成されたならば、管理クライアントが SP800-131 strict モードで実行するように、ssl.client.props ファイルを変更する必要があります。 この変更がないと、クライアントはサーバーとの SSL 接続を確立できません。
ssl.client.props ファイルを編集するには、以下のようにします。
- com.ibm.security.useFIPS を変更して true に設定します。
- useFips プロパティーの後に com.ibm.websphere.security.FIPSLevel=SP800-131 を追加します。
- com.ibm.ssl.protocol プロパティーを TLSv1.2 に変更します。
次のタスク
SP800-131 標準の strict モードでは、SSL 接続で TLSv1.2 プロトコルが使用される必要があります。ブラウザーが管理コンソールまたはアプリケーションにアクセスするには、ブラウザーが TLSv1.2 プロトコルをサポートし、これを使用するように最初に構成する必要があります。
トラブルの回避 (Avoid trouble): 製品の Network Deployment バージョンでセキュリティー標準を使用可能に
した場合、ノードとデプロイメント・マネージャーが非互換のプロトコル状態になる
ことがあります。セキュリティー標準の構成ではサーバーの再始動が必要なため、ノード・エージェントおよびサーバーをすべて停止し、デプロイメント・マネージャーを実行中状態にしておくようにお勧めします。
コンソールを通じて構成変更が行われたら、デプロイメント・マネージャーを再始動します。
gotcha
syncNode を使用して手動でノードを同期し、ノード・エージェントおよびサーバーを始動します。syncNode を使用するために、場合によっては、デプロイメント・マネージャーと通信できるように、 ssl.client.props ファイルを更新する必要があります。