Suite B 보안 표준에 대한 WebSphere Application Server 구성

새 Suite B 보안 기준을 사용하기 위해 WebSphere® Application Server를 구성할 수 있습니다.

시작하기 전에

보안 표준 관련 추가 배경 정보는 "WebSphere Application Server 보안 표준 구성" 주제를 읽으십시오.

이 태스크 정보

NSA(National Security Agency)에서는 Suite B라는 암호화 상호 운용성 전략을 작성했습니다. 이는 NIST(National Institute of Standards and Technology) SP800-131 표준에 특정 요구사항을 배치합니다.

Suite B 요구사항:

WebSphere Application Server는 다음 Suite B 요구사항을 준수해야 합니다.
  • SSL 구성은 TLSv1.2 프로토콜을 사용해야 합니다.
  • com.ibm.jsse.suiteb 시스템 특성은 128 또는 192로 설정되어야 합니다.
  • 128비트 모드에서 실행되는 인증서는 SHA256withECDSA 서명 알고리즘으로 작성되어야 합니다. 192비트 모드에서 실행되는 인증서는 SHA384withECDSA 서명 알고리즘으로 작성되어야 합니다.
    참고: 192비트 모드에서 실행하려면 제한되지 않는 정책 파일이 JDK의 적소에 있어야 합니다.
  • Suite B 승인 암호 스위트가 사용되어야 합니다.

Suite B 표준에 대한 서버를 구성하려면 다음을 수행하십시오.

프로시저

  1. 보안 > SSL 인증 및 키 관리 > FIPS 관리를 클릭하십시오. Suite B 모드에서 실행하려면 서버에서 SSL에 사용되는 모든 인증서는 Suite B 요구사항을 준수하는 인증서로 변환되어야 합니다.
  2. 인증서를 변환하려면 관련 항목에서 인증서 변환을 클릭하십시오.
  3. 알고리즘 상자에서 128비트 또는 192비트라고 레이블 지정된 단일 선택 단추를 선택하십시오.
    참고: EC(Elliptical Curve) 서명 알고리즘은 특정 크기를 필요로 하므로 크기를 제공해야 합니다.
  4. 적용/저장을 클릭하십시오. 변환될 수 없는 인증서라고 레이블 지정된 상자에 인증서가 표시되지 않으면 표준을 사용 가능하게 설정할 수 있습니다.
    변환될 수 없는 인증서라고 레이블 지정된 상자에 나열된 인증서가 표시되면 서버가 사용자 대신 인증서를 변환할 수 없습니다. 이러한 인증서를 Suite B 요구사항을 준수하는 인증서로 대체해야 합니다. 서버가 인증서를 변환할 수 없는 이유에는 다음이 포함됩니다.
    • 인증서가 인증 기관(CA)에 의해 작성되었습니다.
    • 인증서가 읽기 전용 키 저장소에 있습니다.

    Suite B 스펙과 일치하도록 인증서를 변환한 후에는 Suite B 표준을 사용하기 위한 나머지 단계를 수행하십시오.

  5. SSL 인증 및 키 관리 > FIPS 관리를 클릭하십시오.
  6. 128비트 모드의 경우 Suite B: 128비트 키 승인을 선택하고 192비트 모드의 경우 Suite B: 192비트 키 승인을 선택하십시오.
  7. 적용/저장을 클릭하십시오.
  8. Suite B 표준이 적용되도록 서버를 다시 시작하고 노드를 수동으로 동기화하십시오.

    이러한 변경사항이 적용되고 서버가 다시 시작되면, 서버의 SSL 구성이 TLSv1.2 프로토콜을 사용하도록 수정되고 com.ibm.jsse.suiteb 시스템 특성이 원하는 Suite B 모드로 설정됩니다. SSL 구성이 표준에 적합한 SSL 비밀번호를 사용합니다.

    스크립트를 사용하여 Suite B 표준을 사용 가능하게 설정하는 데 사용할 수 있는 wsadmin 태스크가 있습니다. :
    • listCertStatusForSecurityStandard 태스크를 사용하여 보안 표준 인증서 상태를 확인하십시오.
    • convertCertForSecurityStandard 태스크를 사용하여 보안 표준 인증서를 변환하십시오.
    • enableFips 태스크를 사용하여 보안 표준을 사용하십시오.
    • 보안 표준 설정을 보려면 getFipsInfo 태스크를 사용하십시오.
  9. 서버가 SP800-131 strict 모드용으로 구성되었으면, 관리 클라이언트가 SP800-131 strict 모드에서 실행되도록 ssl.client.props 파일을 수정해야 합니다. 이 파일을 변경하면 서버에 SSL 연결할 수 없습니다. 다음을 수행하여 ssl.client.props 파일을 편집하십시오.
    1. com.ibm.security.useFIPS를 수정하여 true로 설정하십시오.
    2. com.ibm.jsse.suiteb property를 추가하여 128 또는 192로 설정하십시오.
    3. com.ibm.ssl.protocol 특성을 TLSv1.2로 변경하십시오.

다음에 수행할 작업

Suite B 표준은 SSL 연결이 TLSv1.2 프로토콜을 사용해야 합니다. 브라우저가 관리 콘솔 또는 애플리케이션에 액세스하려면 브라우저가 TLSv1.2 프로토콜을 지원해야 하며 먼저 이 프로토콜을 사용하도록 브라우저를 구성해야 합니다.

참고: Network Deployed에서 보안 표준을 사용할 때 노드 및 배치 관리자가 호환 불가능한 프로토콜 상태에 있을 수 있습니다. 보안 표준을 구성하려면 서버를 다시 시작해야 하므로, 배치 관리자는 실행 중인 상태로 두고 모든 노드 에이전트 및 서버를 중지하는 것이 좋습니다. 콘솔을 통해 구성을 변경한 후에는 배치 관리자를 다시 시작하십시오.

syncNode로 노드를 수동으로 동기화하고 노드 에이전트 및 서버를 시작하십시오. syncNode를 사용하려면 배치 관리자와 통신하도록 ssl.client.props 파일을 업데이트해야 합니다.


주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_config_suiteb
파일 이름:tsec_config_suiteb.html