SP800-131 표준 strict 모드에 대한 WebSphere Application Server 구성

SP800-131 표준 strict 모드를 사용하도록 WebSphere® Application Server를 구성할 수 있습니다.

시작하기 전에

보안 표준 관련 추가 배경 정보는 "WebSphere Application Server 보안 표준 구성" 주제를 읽으십시오.

이 태스크 정보

NIST(National Institute of Standards and Technology) SP(Special Publications) 800-131 표준은 알고리즘을 강화하고 키 길이를 늘려 보안을 향상시킵니다. 이 표준은 또한 새 표준으로 이동하기 위한 상태 전이 기간을 제공합니다. 상태 전이 기간 동안 사용자는 표준에서 지원되는 설정과 지원되지 않는 설정이 혼합된 환경에서 실행할 수 있습니다. NIST SP800-131 표준에서는 사용자가 특정 시간 범위에 표준을 엄격하게 시행하도록 구성해야 합니다. 자세한 정보는 NIST(National Institute of Standards and Technology) 웹 사이트를 참조하십시오.

WebSphere Application Server를 상태 전이 모드 또는 strict 모드에서 SP800-131을 실행하도록 구성할 수 있습니다. 상태 전이 모드를 구성하는 방법에 대한 지시사항은 " WebSphere Application Server를 SP800-131 보안 표준으로 상태 전이" 주제를 읽으십시오.

strict 모드에서 실행하려면 일부 서버 구성을 변경해야 합니다.
  • SSL(Secure Sockets Layer) 구성에서 TLSv1.2 프로토콜을 사용해야 합니다.
  • strict SP800-131 모드에서 JSSE를 실행하려면 com.ibm.jsse2.sp800-131 시스템 특성을 strict로 설정해야 합니다.
  • SSL 통신에 사용되는 인증서는 최소 길이가 2048이어야 하고, EC(Elliptical Curve) 인증서의 경우 최소 길이가 244여야 합니다.
  • SHA256, SHA384 또는 SHA512의 서명 알고리즘으로 인증서를 서명해야 합니다.
  • SP800-131 승인 암호 스위트를 사용해야 합니다.
.
중요사항: SHA-256을 사용하는 지원되는 서명 알고리즘 스위트는 전체 인증 체인에 적용되어야 합니다. 즉, 인증은 SHA256, SHA384 또는 SHA512의 서명 알고리즘으로 서명되어야 하고 SHA256, SHA384 또는 SHA512를 사용하는 지원되는 서명 알고리즘 스위트가 전체 인증 체인에 적용되어야 합니다.

프로시저

  1. 보안 > SSL 인증 및 키 관리 > FIPS 관리를 클릭하십시오. strict SP800-131 모드에서 실행하려면 서버에 있는 SSL에 사용되는 모든 인증서를 SP800-131 요구사항을 준수하는 인증서로 변환해야 합니다.
  2. 인증서를 변환하려면 관련 항목에서 인증서 변환을 클릭하십시오.
  3. Strict 표시가 있는 단일 선택 단추를 선택하고 풀다운 상자에서 새 인증서를 작성할 때 사용할 signatureAlgorithm을 선택하십시오.
  4. 새 인증서 키 크기라고 레이블 지정된 풀다운 상자에서 인증서 크기를 선택하십시오.
    참고: EC(Elliptical Curve) 서명 알고리즘을 선택할 경우, 특정 크기가 필요합니다. 사용자가 크기를 입력할 수 없습니다. 대신 올바른 크기가 사용됩니다.
  5. 변환할 수 없는 인증서라고 레이블 지정된 상자에 인증서가 표시되지 않으면 적용/저장을 클릭하십시오.
  6. 변환할 수 없는 인증서라고 레이블 지정된 상자에 인증서가 표시되면 서버가 사용자 대신 인증서를 변환할 수 없습니다. 이러한 인증서를 SP800-131 요구사항을 준수하는 인증서로 바꿔야 합니다. 서버가 사용자를 대신하여 인증서를 변환할 수 없는 이유에는 다음이 포함됩니다.
    • 인증서가 CA(Certificate Authority)에 의해 작성되었습니다.
    • 인증서가 읽기 전용 키 저장소에 있습니다.

    인증서가 변환되어 SP800-131 스펙과 일치하면 다음 단계를 수행하여 SP800-131 strict 모드를 사용 가능하게 설정하십시오.

  7. SSL 인증 및 키 관리 > FIPS 관리를 클릭하십시오.
  8. SP800-131 사용이라고 레이블 지정된 단일 선택 단추를 사용으로 설정하십시오.
  9. Strict라고 레이블 지정된 단일 선택 단추를 사용으로 설정하십시오.
  10. 적용/저장을 클릭하십시오.
  11. SP800-131 strict 모드가 적용되도록 서버를 다시 시작하고 노드를 수동으로 동기화하십시오.

    이러한 변경사항이 적용되고 서버가 다시 시작되면, 서버의 모든 SSL 구성이 TLSv1.2 프로토콜을 사용하도록 수정되고 com.ibm.jsse2.sp800-131 시스템 특성이 strict로 설정됩니다. SSL 구성이 표준에 적합한 SSL 비밀번호를 사용합니다.

    스크립트를 사용하여 strict SP800-131을 사용 가능하게 설정하는 데 사용할 수 있는 몇 가지 wsadmin 태스크가 있습니다.
    • listCertStatusForSecurityStandard 태스크를 사용하여 보안 표준 인증서 상태를 확인하십시오.
    • convertCertForSecurityStandard 태스크를 사용하여 보안 표준 인증서를 변환하십시오.
    • enableFips 태스크를 사용하여 보안 표준을 사용하십시오.
    • 보안 표준 설정을 보려면 getFipsInfo 태스크를 사용하십시오.
  12. 서버가 SP800-131 strict 모드용으로 구성되면, 관리 클라이언트가 SP800-131 strict 모드에서 실행되도록 ssl.client.props 파일을 수정해야 합니다. 이 파일을 변경하지 않으면 서버에 SSL 연결할 수 없습니다.
    다음을 수행하여 ssl.client.props 파일을 편집하십시오.
    1. com.ibm.security.useFIPS를 수정하여 true로 설정하십시오.
    2. useFips 특성 뒤에 com.ibm.websphere.security.FIPSLevel=SP800-131을 추가하십시오.
    3. com.ibm.ssl.protocol 특성을 TLSv1.2로 변경하십시오.

다음에 수행할 작업

SP800-131 표준 strict 모드는 SSL 연결이 TLSv1.2 프로토콜을 사용해야 합니다. 브라우저가 관리 콘솔 또는 애플리케이션에 액세스하려면 브라우저가 TLSv1.2 프로토콜을 지원해야 하며 먼저 이 프로토콜을 사용하도록 브라우저를 구성해야 합니다.
문제점 방지 문제점 방지: 이 제품의 Network Deployment 버전에서 보안 표준을 사용할 때 노드 및 배치 관리자가 호환 불가능한 프로토콜 상태에 있을 수 있습니다. 보안 표준을 구성하려면 서버를 다시 시작해야 하므로, 배치 관리자는 실행 중인 상태로 두고 모든 노드 에이전트 및 서버를 중지하는 것이 좋습니다. 콘솔을 통해 구성을 변경한 후에는 배치 관리자를 다시 시작하십시오.gotcha

syncNode로 노드를 수동으로 동기화하고 노드 에이전트 및 서버를 시작하십시오. syncNode를 사용하려면 배치 관리자와 통신하도록 ssl.client.props 파일을 업데이트해야 합니다.


주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_config_strictsp300
파일 이름:tsec_config_strictsp300.html