スイート B セキュリティー標準用の WebSphere Application Server の構成
新規スイート B セキュリティー標準を使用するように、WebSphere® Application Server を構成できます。
始める前に
このタスクについて
米国国家安全保障局 (NSA) は、スイート B と呼ばれる暗号の相互運用性戦略を作成しました。これは、米国連邦情報・技術局 (NIST) SP800-131 標準に特定の要件を設定します。
スイート B の要件:
WebSphere Application Server は、以下のスイート B 要件に準拠する必要があります。
- SSL 構成では TLSv1.2 プロトコルを使用する必要があります。
- com.ibm.jsse.suiteb システム・プロパティーを 128 または 192 に設定する必要があります。
- 128 ビット・モードで実行される証明書は、SHA256withECDSA 署名アルゴリズムで作成する必要があります。192 ビット・モードで実行される証明書は、SHA384withECDSA 署名アルゴリズムで作成する必要があります。注: 192 ビット・モードで実行するには、制約のないポリシー・ファイルを JDK に配置する必要があります。
- スイート B 承認の暗号スイートを使用する必要があります。
スイート B 標準に合わせてサーバーを構成するには、以下のようにします。
手順
次のタスク
スイート B 標準では、SSL 接続で TLSv1.2 プロトコルが使用される必要があります。ブラウザーが管理コンソールまたはアプリケーションにアクセスするには、ブラウザーが TLSv1.2 プロトコルをサポートし、これを使用するように最初に構成する必要があります。
注: デプロイされたネットワークでセキュリティー標準を使用可能にした場合、ノードとデプロイメント・マネージャーが非互換のプロトコル状態になることがあります。セキュリティー標準の構成ではサーバーの再始動が必要なため、ノード・エージェントおよびサーバーをすべて停止し、デプロイメント・マネージャーを実行中状態にしておくようにお勧めします。
コンソールを通じて構成変更が行われたら、デプロイメント・マネージャーを再始動します。
syncNode を使用して手動でノードを同期し、ノード・エージェントおよびサーバーを始動します。syncNode を使用するために、場合によっては、デプロイメント・マネージャーと通信できるように、 ssl.client.props ファイルを更新する必要があります。