米国連邦情報・技術局 (NIST) の特別出版物 800-131 標準は、セキュリティーを改善するためにアルゴリズムを強化し、鍵の長さを増しています。この標準では、新しい標準に移行するための移行期間も設定されています。WebSphere® Application Server
を SP800-131 標準の transition モード用に構成できます。
始める前に
セキュリティー標準に関する背景情報について詳しくは、『WebSphere Application Server のセキュリティー標準構成』のトピックを参照してください。
このタスクについて
この移行期間により、ユーザーは、この標準の下でサポートされない設定とサポートされる設定が混在した環境で実行できるようになります。NIST SP800-131 標準では、ユーザーは特定の時間フレームでの標準の厳格な実施のために構成されていることが要求されます。詳しくは、
米国連邦情報・技術局の Web サイトを参照してください。
移行オプションは、strict モードの SP800-131 に移行する上で非常に有用です。サーバーは、古い設定と新規要件を組み合わせたものを受け入れることができます。以下に例を示します。
サーバーは、証明書を変換できますが、引き続き TLS プロトコルを使用することができます。
WebSphere Application
Server は、SP800-131 を transition モードまたは strict モードで実行するように構成できます。strict モードの構成方法については、『strict モードの SP800-131 セキュリティー標準用の WebSphere Application Server の構成』トピックを参照してください。
SP800-131 transition モードで実行するには、サーバーが特定の構成設定になっている必要もあります。その他の strict モードの要件は、必要に応じて組み込むことができます。
- JSSE を transition モードで実行するには、com.ibm.jsse2.sp800-131 システム・プロパティーを transition に設定する必要があります。
- SSL 構成プロトコルは、TLS 設定の 1 つとする必要があります。有効な値は TLS、TLSv1、TLSv1.1、および TLSv1.2 です。
手順
- とクリックします。
- 「SP800-131 を使用可能にする」ラジオ・ボタンを選択します。
- 「Transition」ラジオ・ボタンを選択します。
- 必要であれば「TLSv1.2 を必要とするように SSL 構成を更新する」ボックスを選択して、SSL 構成のプロトコルを TLSv1.2 に変更するように選択できます。このボックスを選択しない場合、すべての SSL 構成は TLS に設定されます。
- 「適用/保存」をクリックします。
- サーバーを再始動します。 サーバーで動的 SSL 更新が有効にされている場合、サーバーを再始動する前に、ssl.client.props ファイルを編集して、サーバーに構成したのと同じプロトコルになるように com.ibm.ssl.protocol プロパティーを変更してください。
こうした変更が適用され、サーバーが再始動すると、サーバー上のすべての SSL 構成が TLS または TLSv1.2 プロトコルを使用するように変更され、com.ibm.jsse2.sp800-131 システム・プロパティーが transition に設定されます。SSL 構成では、標準用に適切な SSL 暗号が使用されます。
strict モードの証明書に移行する場合、構成内のプロトコルが strict モードの要件を満たしている必要があります。
以下のようにすると、直接 SSL 構成に移動して、プロトコルを TLSv1.2 に設定できます。
- とクリックします。
- コレクション・パネルから SSL 構成を選択します。
- 「関連項目」の下で、「保護品質 (QoP)」を選択します。
- 「プロトコル」というラベルのプルダウン・ボックスから「TLSv1.2」を選択します。
- 「適用/保存」をクリックします。 スクリプトを使用して SSL プロトコルを変更するには、modifySSLConfig タスクを使用することもできます。
証明書は、少なくとも 2048 (楕円曲線証明書の場合は 244) のサイズであり、SHA256、SHA384、または SHA512 で署名されている必要があります。コンソールで新規の証明書を作成して、古い証明書を置き換えるか、または標準要件を満たす証明書をインポートできます。
証明書を置き換える場合、いくつかのオプションがあります。
- 「証明書の変換」パネルを使用します。このパネルでは、すべての証明書が指定された標準を満たすように変換されます。
- とクリックします。
注: 「証明書」というラベルのボックスに変換できない証明書がある場合、このオプションを使用して、証明書を変換できません。
- 「Strict」ラジオ・ボタンを選択し、新規証明書の作成時に使用する署名アルゴリズムをプルダウン・ボックスから選択します。
- 証明書のサイズを「新規証明書鍵サイズ」というラベルのプルダウン・ボックスから選択します。ただし楕円曲線署名アルゴリズムでは特定のサイズが必要なため、サイズを指定する必要はありません。
- 「適用/保存」をクリックします。
convertCertForSecurityStandard スクリプト・タスクを使用して、すべての証明書を、指定された標準を満たすように変換することもできます。
- 「個人証明書」パネルを使用すると、以下のようにして新規証明書を作成し、要件を満たさない証明書を置き換えることができます。
- とクリックします。
- コレクション・パネルから鍵ストアを選択します。
- 「個人証明書」を選択します。
- 「作成」ボタンのプルダウン・リストから「自己署名証明書」を選択します。
- 証明書の別名を入力します。SHA256、SHA384、または SHA512 で署名された証明書の署名アルゴリズムを選択します。2048 以上のサイズを選択します。ただし楕円曲線署名アルゴリズムでは特定のサイズが必要なため、サイズを指定する必要はありません。
- 「適用/保存」をクリックします。
- 「個人証明書」コレクション・パネルに戻り、標準を満たさない証明書を選択します。「置換」をクリックします。
- 「置き換え」パネルで、標準を満たす作成済み証明書を「置き換え」というラベルのボックス内のプルダウン・リストから選択します。
- 「置換後に古い証明書を削除する」ボックスおよび「古い署名者の削除」ボックスを選択します。
- 「適用/保存」をクリックします。
注: チェーン証明書を置き換えるには、標準を満たすルート証明書を作成する必要があります。defaultRootStore のルート証明書への以前の
ナビゲーション・パスをたどり、その新規ルート証明書を使用してチェーン証明書を作成します。
createSelfSigneCertificate スクリプト・タスクを使用して、自己署名証明書を作成することもできます。replaceCertificate スクリプト・タスクを使用して、古い証明書を新規証明書で置き換えることもできます。
- 「個人証明書」パネルを使用すると、証明書をインポートし、要件を満たさない証明書を置き換えることができます。一部の証明書は、認証局 (CA) など、外部ソースからのものです。
- とクリックします。
- コレクション・パネルから鍵ストアを選択します。
- 「個人証明書」を選択します。
- 「証明書のインポート」を選択します。
- 既存の鍵ストア・ファイル内の証明書へのアクセスに必要な情報を入力します。
- 「適用/保存」をクリックします。
- 「個人証明書」コレクション・パネルに戻り、標準を満たさない証明書を選択します。「置換」ボタンをクリックします。
- 「置き換え」パネルで、標準を満たす作成済み証明書を「置き換え」というラベルのボックス内のプルダウン・リストから選択します。「置換後に古い証明書を削除する」ボックスおよび「古い署名者の削除」ボックスを選択します。
- 「適用/保存」をクリックします。
importCertificate スクリプト・タスクを使用して、証明書をインポートすることもできます。replaceCertificate スクリプト・タスクを使用して、古い証明書を新規証明書で置き換えることもできます。
- strict SP800-131 を有効にするため、とクリックします。
- 「SP800-131 を使用可能にする」をクリックします。
- 「Strict」をクリックします。
- 「適用/保存」をクリックします。
- サーバーを再始動し、ノードを手動で同期して、変更が有効となるようにします。 ノードを手動で同期するために、各ノードの ssl.client.props ファイルをデプロイメント・マネージャーのプロトコルと一致するように変更する必要がある場合があります。
各ノードの ssl.client.props ファイルを編集して、デプロイメント・マネージャーのプロトコルに一致するように com.ibm.ssl.protocol プロパティーを変更すると、手動でのノードの同期が可能になります。
- 実行しているセキュリティー標準 (strict モードまたは transition モード) に一致するよう client ssl.client.props ファイルを構成します。
ssl.client.props ファイルを以下のように編集します。
- com.ibm.security.useFIPS プロパティーを変更して true に設定します。
- com.ibm.websphere.security.FIPSLevel プロパティーを useFips プロパティーの直後に追加します。strict モードが有効になっている場合はこのプロパティーを SP800-131 に設定し、transition モードが有効になっている場合は transition に設定します。
- strict モードが有効になっている場合は com.ibm.ssl.protocol プロパティーを TLSv1.2 に変更します。transition モードが有効になっている場合は、このプロパティーがサーバーのプロトコル設定と一致するようにします。
- サーバーを再始動し、ノードを手動で同期化します。
ノードが同期化されるまで変更は有効になりません。
クラスター環境で実行している場合は、以下を行います。
- 管理コンソールがシャットダウンされていることを確認します。
- サーバーで実行されている JVM がないことを確認します。
- すべてのサーバーを停止します。
- ノード・エージェントを停止します。
- デプロイメント・マネージャーを停止します。
- temp フォルダー内のすべてのコンテンツを消去します。
<profile_root>/wstemp/
<profile_root>/temp/
<profile_root>/config/temp/
<profile_root>/logs/dmgr/
<profile_root>/servers/nodeagent/configuration/
<profile_root>/servers/<server_name>/configuration/
- osgiCfgInit を実行して OSGI 構成を初期化します。
was_profile_root/profile/bin/osgiCfgInit.bat
Profile is your dmgr01/bin profile.
- clearClassCache を実行して OSGI クラス・キャッシュをクリアします。
was_profile_root/profile_name/bin/clearClassCache.bat
ここで、profile_name は、ご使用の dmgr01/bin プロファイルです。
- デプロイメント・マネージャーを始動します。
- ノードを手動で同期します。
- wsadmin ツールがまだ始動していない場合は、始動します。
- was_home/profiles/profile_name/bin から以下の syncNode コマンドを実行します。
syncNodedmgr_host dmgr_port
ここで、profile_name は、ご使用の dmgr01/bin プロファイルです。
セキュリティーが有効になっている場合は、このコマンドの実行時に -username パラメーターと -password パラメーターを指定してください。
syncNode
dmgr_host dmgr_port -username user_name -password
pass_word
- ノード・エージェントを始動します。
- その他のすべてのサーバーを始動します。
次のタスク
管理コンソールまたはアプリケーションにアクセスするために使用されるブラウザーは、サーバーと互換性のあるプロトコルを使用する必要があります。サーバーが transition モードで実行している場合、ブラウザーは、サーバーと一致するプロトコルを使用するように設定する必要があります。SP800-131 標準では SSL 接続で TLSv1.2 プロトコルを使用する必要があるので、ブラウザーは TLSv1.2 をサポートし、これを使用して管理コンソールにアクセスする必要があります。