AdminTask 오브젝트의 FIPSCommands 명령 그룹
wsadmin 도구를 사용하여 Jython 또는 Jacl 스크립트 언어로 FIPS(Federal Information Processing Standards)를 구성할 수 있습니다.
enableFips
enableFips 명령은 지정된 보안 레벨을 사용 또는 사용 안함으로 설정합니다.대상 오브젝트
없음.
필수 매개변수
- -enableFips
- 이 플래그를 true로 설정하면 다른 매개변수로 지정된 보안 레벨에서 FIPS가 사용됩니다. 이 플래그를 false로 설정하면 FIPS가 사용되지 않고 다른 매개변수는 무시됩니다. 이 매개변수의 값은 com.ibm.security.useFIPS 보안 사용자 정의 특성으로에 설정됩니다. (부울 필수)
선택적 매개변수
- -fipsLevel
- 사용할 보안 표준의 레벨을 지정합니다. (문자열, 선택사항).기본값은 없습니다. 올바른 값은 다음과 같습니다.
- FIPS140-2
- 이 값을 설정하면 시스템이 Fips 140-2 모드를 준수하도록 구성됩니다.
- transition
- 이 값을 설정하면 시스템이 SP800-131 상태 전이 모드를 준수하도록 구성됩니다.
- SP800-131
- 이 값을 설정하면 시스템이 SP800-131 strict 모드를 준수하도록 구성됩니다.
제공된 값은 com.ibm.websphere.security.FIPSLevel 보안 사용자 정의 특성에서 설정됩니다.
fipsLevel 또는 suiteBLevel을 지정해야 합니다.
- -suiteBLevel
- suiteBLevel의 레벨을 지정합니다. 기본값은 없습니다. 제공된 값은 com.ibm.websphere.security.suiteb 보안 사용자 정의
특성에서 설정됩니다. (문자열, 선택적)올바른 값은 다음과 같습니다.
- 128 – 이 값을 설정하면 시스템이 Suite B 128을 준수하도록 구성됩니다.
- 192 - 이 값을 설정하면 시스템이 Suite B 192를 준수하도록 구성됩니다.
- -protocol
- SSL(Secure Sockets Layer) 구성의 프로토콜을 설정합니다. 이 매개변수는 -fipsLevel 플래그가 transition으로 설정될 때만 사용됩니다. 다른 fipsLevels의 경우, SSL 프로토콜이 이미 스펙에 의해 정의되어 있습니다. 상태 전이에 대한 올바른 값은 TLS, TLSv1.1 및 TLSv1.2입니다. 관리 콘솔에서는 TLS 및 TLSv1.2만 올바른 값으로 표시됩니다. TLS1.1은 명령행에서 지정할 수 있습니다. (문자열, 선택적)
리턴값:
True(성공) 또는 false(실패). false인 경우, 실패 이유가 System.Out.log에 로그됩니다.예제
- Jacl 문자열 사용:
$AdminTask enableFips {-enableFips true -fipsLevel transition } true
getFipsInfo
getFipsInfo 명령은 FIPS 설정과 함께 attributeList를 리턴합니다. 설정은 fipsEnabled, fipsLevel 및 suiteBLevel입니다.
대상 오브젝트
없음.필수 매개변수
없음.
리턴값:
getFipsInfo 명령은 FIPS 설정과 함께 attributeList를 리턴합니다. 예를 들어, FIPS가 사용되지 않으면 fipsLevel 및 suiteBLevel은 빈 문자열입니다. 예를 들어 다음과 같습니다.보안 모드 | getFipsInfo의 리턴값 |
---|---|
Fips 사용 불가능 | fipsEnabled=false |
FIPS140-2 | ipsEnabled=true |
SP800-131 - 상태 전이 | fipsEnabled=true |
SP800-131 - 엄격 | fipsEnabled=true |
스위트 B 128 | fipsEnabled=true |
스위트 B 192 | fipsEnabled=true |
예제
- Jacl 사용:
$AdminTask getFipsInfo {fipsEnabled true} {fipsLevel SP800-131} {suiteBLevel {}}
listCertStatusForSecurityStandard
listCertStatusForSecurityStandard 명령은 SSL 구성 및 플러그인에서 사용하는 모든 인증서를 리턴하며 이들이 요청된 보안 레벨을 준수하는지 여부를 명시합니다.
대상 오브젝트
없음.필수 매개변수
없음.선택적 매개변수
- -suiteBLevel
- FIPS를 사용 또는 사용 안함으로 설정합니다. 기본값은 없습니다. 이 플래그를 true로 설정하면 com.ibm.security.useFips 보안 사용자 정의 특성이 true로 설정됩니다. 이 플래그를 false로 설정하면 com.ibm.security.useFips 보안 사용자 정의 특성이 false로 설정되고 다른 플래그가 무시됩니다. (문자열, 선택적)
- -fipsLevel
- 사용할 보안 표준의 레벨을 지정합니다. (문자열, 선택사항).기본값은 없습니다. 올바른 값은 다음과 같습니다.
- FIPS140-2
- 이 값을 설정하면 시스템이 Fips 140-2 모드를 준수하도록 구성됩니다.
- transition
- 이 값을 설정하면 시스템이 SP800-131 상태 전이 모드를 준수하도록 구성됩니다.
- SP800-131
- 이 값을 설정하면 시스템이 SP800-131 strict 모드를 준수하도록 구성됩니다.
제공된 값은 com.ibm.websphere.security.FIPSLevel 보안 사용자 정의 특성에서 설정됩니다.
fipsLevel 또는 suiteBLevel을 지정해야 합니다.
- -suiteBLevel
- suiteBLevel의 레벨을 지정합니다. 기본값은 없습니다. 제공된 값은 com.ibm.websphere.security.suiteb 보안 사용자 정의
특성에서 설정됩니다. (문자열, 선택적)올바른 값은 다음과 같습니다.
- 128 – 이 값을 설정하면 시스템이 Suite B 128을 준수하도록 구성됩니다.
- 192 - 이 값을 설정하면 시스템이 Suite B 192를 준수하도록 구성됩니다.
리턴값:
세 개의 키(CAN_NOT_CONVERT, CAN_CONVERT 및 MEET_SECURITY_LEVEL)가 있는 attributeList 목록입니다. 키마다 하나의 attributeList 목록이 리턴됩니다. 하나의 attributeList에는 인증서 정보(키 저장소, managementScope, 별명 및 이유)가 포함됩니다. 예를 들어 다음과 같습니다.{conversionStatus=CAN_NOT_CONVERT
certificateInfo = { keystore = <keystore name>
managementScope = <managementScope>
alias = <certificate alias>
reason = <reason why certificate can not be converted>
} ...
{conversionStatus= CAN_CONVERT
certificateInfo = { keystore = <keystore name>
managementScope = <managementScope>
alias = <certificate alias>
reason = empty when certificate can be converted
} ...
{conversionStatus=MEET_SECURITY_LEVEL
certificateInfo = { keystore = <keystore name>
managementScope = <managementScope>
alias = <certificate alias>
reason = empty when certificate already meets security level
예제
- Jython 사용:
wsadmin>$AdminTask listCertStatusForSecurityStandard {-fipsLevel SP800-131 -suiteBLevel 128 } {CAN_CONVERT {{keystore NodeDefaultKeyStore} {managementScope (cell):testNode 01Cell:(node):testNode01} {alias default} {reason {Current SignatureAlgorithm is SHA256withRSA. SignatureAlgorithm needs to be one of [SHA256withECDSA] to be compliant with SP 800-131 - Suite B 128. }} {keystore NodeDefaultRootStore} {managementScope (cell):testNode01Cell:(node) :testNode01} {alias root} {reason {Current SignatureAlgorithm is SHA256withRS A. SignatureAlgorithm needs to be one of [SHA256withECDSA] to be compliant with SP 800-131 - Suite B 128. }} }} {CAN_NOT_CONVERT {}} {MEET_SECURITY_STANDARD {}}
convertCertForSecurityStandard
convertCertForSecurityStandard 명령은 SSL 구성 및 플러그인에서 사용되는 모든 인증서를 변환합니다.
대상 오브젝트
없음.필수 매개변수
없음.선택적 매개변수
- -fipsLevel
- 사용할 보안 표준의 레벨을 지정합니다. (문자열, 선택사항).기본값은 없습니다. 올바른 값은 다음과 같습니다.
- FIPS140-2
- 이 값을 설정하면 시스템이 Fips 140-2 모드를 준수하도록 구성됩니다.
- transition
- 이 값을 설정하면 시스템이 SP800-131 상태 전이 모드를 준수하도록 구성됩니다.
- SP800-131
- 이 값을 설정하면 시스템이 SP800-131 strict 모드를 준수하도록 구성됩니다.
제공된 값은 com.ibm.websphere.security.FIPSLevel 보안 사용자 정의 특성에서 설정됩니다.
fipsLevel 또는 suiteBLevel을 지정해야 합니다.
- -suiteBLevel
- suiteBLevel의 레벨을 지정합니다. 기본값은 없습니다. 제공된 값은 com.ibm.websphere.security.suiteb 보안 사용자 정의
특성에서 설정됩니다. (문자열, 선택적)올바른 값은 다음과 같습니다.
- 128 – 이 값을 설정하면 시스템이 Suite B 128을 준수하도록 구성됩니다.
- 192 - 이 값을 설정하면 시스템이 Suite B 192를 준수하도록 구성됩니다.
- -signatureAlgorithem
- signatureAlgorithm이 FipsLevel 및 suiteB를 준수하는지 확인합니다. 준수하면 signatureAlgorithm을 사용하여 인증서를 변환합니다. 그렇지 않으면, 준수하는 signatureAlgorithm을 사용하십시오. (문자열, 필수).
- -keySize
- keySize가 FipsLevel 및 suiteB를 준수하는지 확인합니다. 준수하면 해당 keySize를 사용하여 인증서를 변환합니다. 그렇지 않으면, signatureAlgorithm에 최소값을 사용하십시오.
리턴값:
{conversionStatus=CAN_NOT_CONVERT
certificateInfo = {keystore = <keystore name>
managementScope = <managementScope>
alias = <certificate alias>
reason = <reason why certificate can not be converted>
} ...
{conversionStatus=MEET_SECURITY_STANDARD
certificateInfo = {keystore = <keystore name>
managementScope = <managementScope>
alias = <certificate alias>
reason = empty when certificate meets security standard.
} ...
예제
- Jacl 사용:
wsadmin> $AdminTask convertCertForSecurityStandard {-fipsLevel FIPS140-2 -signatureAlgorithm SHA256withRSA -keySize 2048 } {CAN_CONVERT {}} {CAN_NOT_CONVERT {}} {MEET_SECURITY_STANDARD {{keystore NodeDef aultRootStore} {managementScope (cell):testNode01Cell:(node):testNode01} { alias root} {reason {}} {keystore NodeDefaultKeyStore} {managementScope (cell):testNode01Cell:(node): testNode01} {alias default} {reason {}} }}