連邦情報処理標準 (FIPS) Java セキュア・ソケット拡張機能ファイルの構成
このトピックを使用して、連邦情報処理標準 (FIPS) Java™ セキュア・ソケット拡張機能ファイルを構成します。
このタスクについて
- SSL_RSA_WITH_AES_128_CBC_SHA
- SSL_RSA_WITH_3DES_EDE_CBC_SHA
- SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA
- SSL_DHE_RSA_WITH_AES_128_CBC_SHA
- SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
- SSL_DHE_DSS_WITH_AES_128_CBC_SHA
- SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
サーバーの「SSL 証明書および鍵管理」パネルで「連邦情報処理標準 (FIPS) アルゴリズムを 使用」オプションを有効にすると、SSL に対して指定される contextProvider (IBMJSSE または IBMJSSE2S) に関わらず、ランタイムは常に IBMJSSE2 を 使用します。 また、FIPS は SSL プロトコルが TLS であることを必要とするため、SSL レパートリーで設定されている SSL プロトコルに関係なく、FIPS が使用可能になっている場合は、ランタイムは常に TLS を使用します。これにより、管理者は サーバーの「SSL 証明書および鍵管理」パネルで「連邦情報処理標準 (FIPS) アルゴリズムを使用」オプションを使用可能にするだけで SSL を使用するすべてのトランスポートを使用可能にできるので、バージョン 9.0 における FIPS 構成が単純化されます。
手順
次のタスク
- デフォルトでは、Microsoft Internet Explorer は、TLS 対応になっていない可能性があります。
TLS を使用可能にするには、Internet Explorer ブラウザーを開き、
「ツール」>「インターネット オプション」をクリックします。
「詳細設定」タブで、「TLS 1.0 を使用する」オプションを選択します。注: Netscape Version 4.7.x 以前のバージョンは、TLS をサポートしていない可能性があります。
- 「SSL 証明書および鍵管理」パネルで「連邦情報処理標準 (FIPS) を使用する」オプションを選択すると、Lightweight Third-Party Authentication (LTPA) トークン・フォーマットは WebSphere Application Server の旧リリースと後方互換でなくなります。 ただし、 アプリケーション・サーバーの旧バージョンから LTPA 鍵をインポートすることができます。
- 注: 現在の WebSphere 制約は、秘密鍵の鍵の長さが FIPS sp800-131a に準拠しているかどうかを評価されないということです。鍵ストア内に秘密鍵がある場合、 {WebSphere_install_dir}¥java¥jre¥bin ディレクトリー内の iKeyman を使用するか、他の鍵ストア・ツールを使用して、鍵の長さを検査してください。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
ADMU3007E: Exception com.ibm.websphere.management.exception.ConnectorException
java.security ファイルにある次のエントリーは、既に除去またはコメント化している場合は、コメントを外してからサーバーを再始動してください。
security.provider.2=com.ibm.crypto.provider.IBMJCE
- IBMJCEFIPS (証明書 376)
- IBM Cryptography for C (ICC) (証明書 384)
- ssl.client.props ファイルで、com.ibm.security.useFIPS 値を false に変更する必要があります。
java.security ファイルで、FIPS プロバイダーを 非 FIPS プロバイダーに変更する必要があります。
IBM SDK の java.security ファイルを使用している場合は、以下の例に示されているように、最初のプロバイダーを非 FIPS プロバイダーに変更する必要があります。#security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.1=com.ibm.crypto.provider.IBMJCE security.provider.2=com.ibm.jsse.IBMJSSEProvider security.provider.3=com.ibm.jsse2.IBMJSSEProvider2 security.provider.4=com.ibm.security.jgss.IBMJGSSProvider security.provider.5=com.ibm.security.cert.IBMCertPath #security.provider.6=com.ibm.crypto.pkcs11.provider.IBMPKCS11
Sun JDK の java.security ファイルを使用している場合は、以下の例に示されているように、3 つ目のプロバイダーを非 FIPS プロバイダーに変更する必要があります。security.provider.1=sun.security.provider.Sun security.provider.2=com.ibm.security.jgss.IBMJGSSProvider security.provider.3=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.4=com.ibm.crypto.provider.IBMJCE security.provider.5=com.ibm.jsse.IBMJSSEProvider security.provider.6=com.ibm.jsse2.IBMJSSEProvider2 security.provider.7=com.ibm.security.cert.IBMCertPath #security.provider.8=com.ibm.crypto.pkcs11.provider.IBMPKCS11
java.security ファイルを編集して、FIPS プロバイダーを除去し、以下の例のようにプロバイダーを再番号付けします。
security.provider.1=sun.security.provider.Sun #security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.2=com.ibm.crypto.provider.IBMJCE security.provider.3=com.ibm.jsse.IBMJSSEProvider security.provider.4=com.ibm.jsse2.IBMJSSEProvider2 security.provider.5=com.ibm.security.jgss.IBMJGSSProvider security.provider.6=com.ibm.security.cert.IBMCertPath security.provider.7=com.ibm.i5os.jsse.JSSEProvider #security.provider.8=com.ibm.crypto.pkcs11.provider.IBMPKCS11 security.provider.8=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
![[z/OS]](../images/ngzos.gif)
- 暗号スイート・レベルが現在、「強」であれば、それを「中」に
下げます。
トラブルの回避 (Avoid trouble): 暗号スイート・レベルは、環境のレベル (ノード・レベル、 サーバー・レベルなど) ごとに、異なるレベルに変更できます。変更する場合は、変更が必要な環境のレベルに 限定してください。gotcha
暗号スイートを変更する場合は、保護品質設定の資料内の 暗号スイート・グループの情報を参照してください。暗号スイート・レベルを「中」に変更したら、変更を 保存し、同期化します。「SSL 構成変更時にランタイムを動的に更新」オプションが選択されている場合、 サーバーを再始動する必要はありません。しかし、このオプションが選択されていない場合、 変更を有効にするには、サーバーを再始動する必要があります。「SSL 構成変更時にランタイムを動的に更新」オプションは、管理コンソールの 「SSL 証明書と鍵の管理」パネルで利用できます。このパネルにアクセスするには、 とクリックします。
- z/OS® オペレーティング・システム用 Security Level 3 FMID JCPT3A1 をインストールします。
Security Level 3 FMID JCPT3A1 は、FIPS 140-2 承認暗号プロバイダーの z/OS オペレーティング・システムによる実装です。