スイート B セキュリティー標準用の WebSphere Application Server の構成

新規スイート B セキュリティー標準を使用するように、WebSphere® Application Server を構成できます。

始める前に

セキュリティー標準に関する背景情報について詳しくは、『WebSphere Application Server のセキュリティー標準構成』のトピックを参照してください。

このタスクについて

米国国家安全保障局 (NSA) は、スイート B と呼ばれる暗号の相互運用性戦略を作成しました。これは、米国連邦情報・技術局 (NIST) SP800-131 標準に特定の要件を設定します。

スイート B の要件:

WebSphere Application Server は、以下のスイート B 要件に準拠する必要があります。
  • SSL 構成では TLSv1.2 プロトコルを使用する必要があります。
  • com.ibm.jsse.suiteb システム・プロパティーを 128 または 192 に設定する必要があります。
  • 128 ビット・モードで実行される証明書は、SHA256withECDSA 署名アルゴリズムで作成する必要があります。192 ビット・モードで実行される証明書は、SHA384withECDSA 署名アルゴリズムで作成する必要があります。
    注: 192 ビット・モードで実行するには、制約のないポリシー・ファイルを JDK に配置する必要があります。
  • スイート B 承認の暗号スイートを使用する必要があります。

スイート B 標準に合わせてサーバーを構成するには、以下のようにします。

手順

  1. 「セキュリティー」>「SSL 証明書および鍵管理」>「FIPS の管理」とクリックします。 スイート B モードで実行するには、サーバー上で SSL に使用されるすべての証明書を、スイート B 要件に準拠する証明書に変換する必要があります。
  2. 証明書を変換するには、「関連項目」の下で「証明書の変換」をクリックします。
  3. 「アルゴリズム」ボックスで「128 ビットまたは 192 ビット」というラベルのラジオ・ボタンを選択します。
    注: 楕円曲線署名アルゴリズムでは特定のサイズが必要なため、サイズを指定する必要があります。
  4. 「適用/保存」をクリックします。 「変換できない証明書」 というラベルのボックスに証明書が表示されていない場合は、標準を使用可能に することができます。
    「変換できない証明書」というラベルのボックスに 証明書が表示されている場合、サーバーではユーザーが使用する証明書を変換できません。 こうした証明書は、スイート B 要件を満たすものでユーザーが置き換える必要があります。サーバーが証明書を変換できない理由としては、以下のことが考えられます。
    • 証明書が認証局 (CA) によって作成されたものである。
    • 証明書が読み取り専用鍵ストアにある。

    証明書がスイート B 仕様を満たすように変換されたら、以下の残りのステップを行って、スイート B 標準を使用可能にします。

  5. 「SSL 証明書および鍵管理」>「FIPS の管理」とクリックします。
  6. 128 ビット・モードの場合は「スイート B: 128 ビット鍵を受け入れる」を、192 ビット・モードの場合は「スイート B: 192 ビット鍵を受け入れる」を選択します。
  7. 「適用/保存」をクリックします。
  8. サーバーを再始動し、ノードを手動で同期して、スイート B 標準が有効となるようにします。

    こうした変更が適用され、サーバーが再始動すると、サーバー上の SSL 構成が TLSv1.2 プロトコルを使用するように変更され、com.ibm.jsse.suiteb システム・プロパティーが必要なスイート B モードに変更されます。SSL 構成では、標準用に適切な SSL 暗号が使用されます。

    また、スクリプトを使用してスイート B 標準を使用可能にすることができる wsadmin タスクがいくつかあります。:
    • セキュリティー標準用に証明書の状況を確認するには、listCertStatusForSecurityStandard タスクを使用します。
    • セキュリティー標準用に証明書を変換するには、convertCertForSecurityStandard タスクを使用します。
    • セキュリティー標準を使用可能にするには、enableFips タスクを使用します。
    • セキュリティー標準設定を表示するには、getFipsInfo タスクを使用します。
  9. サーバーが SP800-131 strict モード用に構成されていると、管理クライアントが SP800-131 strict モードで実行するために、ssl.client.props ファイルの変更が必要になります。 この変更があると、クライアントはサーバーとの SSL 接続を確立できません。ssl.client.props ファイルを編集するには、以下のようにします。
    1. com.ibm.security.useFIPS を変更して true に設定します。
    2. com.ibm.jsse.suiteb プロパティーを追加して、128 または 192 に設定します。
    3. com.ibm.ssl.protocol プロパティーを TLSv1.2 に変更します。

次のタスク

スイート B 標準では、SSL 接続で TLSv1.2 プロトコルが使用される必要があります。ブラウザーが管理コンソールまたはアプリケーションにアクセスするには、ブラウザーが TLSv1.2 プロトコルをサポートし、これを使用するように最初に構成する必要があります。

注: デプロイされたネットワークでセキュリティー標準を使用可能にした場合、ノードとデプロイメント・マネージャーが非互換のプロトコル状態になることがあります。セキュリティー標準の構成ではサーバーの再始動が必要なため、ノード・エージェントおよびサーバーをすべて停止し、デプロイメント・マネージャーを実行中状態にしておくようにお勧めします。 コンソールを通じて構成変更が行われたら、デプロイメント・マネージャーを再始動します。

syncNode を使用して手動でノードを同期し、ノード・エージェントおよびサーバーを始動します。syncNode を使用するために、場合によっては、デプロイメント・マネージャーと通信できるように、 ssl.client.props ファイルを更新する必要があります。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_config_suiteb
ファイル名:tsec_config_suiteb.html