AdminTask 오브젝트의 FIPSCommands 명령 그룹

wsadmin 도구를 사용하여 Jython 또는 Jacl 스크립트 언어로 FIPS(Federal Information Processing Standards)를 구성할 수 있습니다.

AdminTask 오브젝트의 FIPSCommands 명령 그룹에는 다음 명령이 포함됩니다.

enableFips

enableFips 명령은 지정된 보안 레벨을 사용 또는 사용 안함으로 설정합니다.

대상 오브젝트

없음.

필수 매개변수

-enableFips
이 플래그를 true로 설정하면 다른 매개변수로 지정된 보안 레벨에서 FIPS가 사용됩니다. 이 플래그를 false로 설정하면 FIPS가 사용되지 않고 다른 매개변수는 무시됩니다. 이 매개변수의 값은 com.ibm.security.useFIPS 보안 사용자 정의 특성으로에 설정됩니다. (부울 필수)

선택적 매개변수

-fipsLevel
사용할 보안 표준의 레벨을 지정합니다. (문자열, 선택사항).기본값은 없습니다. 올바른 값은 다음과 같습니다.
FIPS140-2
이 값을 설정하면 시스템이 Fips 140-2 모드를 준수하도록 구성됩니다.
transition
이 값을 설정하면 시스템이 SP800-131 상태 전이 모드를 준수하도록 구성됩니다.
SP800-131
이 값을 설정하면 시스템이 SP800-131 strict 모드를 준수하도록 구성됩니다.

제공된 값은 com.ibm.websphere.security.FIPSLevel 보안 사용자 정의 특성에서 설정됩니다.

fipsLevel 또는 suiteBLevel을 지정해야 합니다.

-suiteBLevel
suiteBLevel의 레벨을 지정합니다. 기본값은 없습니다. 제공된 값은 com.ibm.websphere.security.suiteb 보안 사용자 정의 특성에서 설정됩니다. (문자열, 선택적)
올바른 값은 다음과 같습니다.
  • 128 – 이 값을 설정하면 시스템이 Suite B 128을 준수하도록 구성됩니다.
  • 192 - 이 값을 설정하면 시스템이 Suite B 192를 준수하도록 구성됩니다.
-protocol
SSL(Secure Sockets Layer) 구성의 프로토콜을 설정합니다. 이 매개변수는 -fipsLevel 플래그가 transition으로 설정될 때만 사용됩니다. 다른 fipsLevels의 경우, SSL 프로토콜이 이미 스펙에 의해 정의되어 있습니다. 상태 전이에 대한 올바른 값은 TLS, TLSv1.1 및 TLSv1.2입니다. 관리 콘솔에서는 TLS 및 TLSv1.2만 올바른 값으로 표시됩니다. TLS1.1은 명령행에서 지정할 수 있습니다. (문자열, 선택적)

리턴값:

True(성공) 또는 false(실패). false인 경우, 실패 이유가 System.Out.log에 로그됩니다.

예제

  • Jacl 문자열 사용:
    $AdminTask enableFips {-enableFips true -fipsLevel transition }
    true

getFipsInfo

getFipsInfo 명령은 FIPS 설정과 함께 attributeList를 리턴합니다. 설정은 fipsEnabled, fipsLevel 및 suiteBLevel입니다.

대상 오브젝트

없음.

필수 매개변수

없음.

리턴값:

getFipsInfo 명령은 FIPS 설정과 함께 attributeList를 리턴합니다. 예를 들어, FIPS가 사용되지 않으면 fipsLevel 및 suiteBLevel은 빈 문자열입니다. 예를 들어 다음과 같습니다.
표 1. 보안 모드 및 FIPS 레벨
보안 모드 getFipsInfo의 리턴값
Fips 사용 불가능

fipsEnabled=false
fipsLevel=(empty string)
suiteBLevel=(empty string)

FIPS140-2

ipsEnabled=true
fipsLevel=FIPS140-2
suiteBLevel=(empty string)

SP800-131 - 상태 전이

fipsEnabled=true
fipsLevel=transition
suiteBLevel=(empty string)

SP800-131 - 엄격

fipsEnabled=true
fipsLevel=SP800-131
suiteBLevel=(empty string)

스위트 B 128

fipsEnabled=true
fipsLevel=(empty string)
suiteBLevel=128

스위트 B 192

fipsEnabled=true
fipsLevel=(empty string)
suiteBLevel=192

예제

  • Jacl 사용:
    $AdminTask getFipsInfo
    {fipsEnabled true} {fipsLevel SP800-131} {suiteBLevel {}}

listCertStatusForSecurityStandard

listCertStatusForSecurityStandard 명령은 SSL 구성 및 플러그인에서 사용하는 모든 인증서를 리턴하며 이들이 요청된 보안 레벨을 준수하는지 여부를 명시합니다.

대상 오브젝트

없음.

필수 매개변수

없음.

선택적 매개변수

-suiteBLevel
FIPS를 사용 또는 사용 안함으로 설정합니다. 기본값은 없습니다. 이 플래그를 true로 설정하면 com.ibm.security.useFips 보안 사용자 정의 특성이 true로 설정됩니다. 이 플래그를 false로 설정하면 com.ibm.security.useFips 보안 사용자 정의 특성이 false로 설정되고 다른 플래그가 무시됩니다. (문자열, 선택적)
-fipsLevel
사용할 보안 표준의 레벨을 지정합니다. (문자열, 선택사항).기본값은 없습니다. 올바른 값은 다음과 같습니다.
FIPS140-2
이 값을 설정하면 시스템이 Fips 140-2 모드를 준수하도록 구성됩니다.
transition
이 값을 설정하면 시스템이 SP800-131 상태 전이 모드를 준수하도록 구성됩니다.
SP800-131
이 값을 설정하면 시스템이 SP800-131 strict 모드를 준수하도록 구성됩니다.

제공된 값은 com.ibm.websphere.security.FIPSLevel 보안 사용자 정의 특성에서 설정됩니다.

fipsLevel 또는 suiteBLevel을 지정해야 합니다.

-suiteBLevel
suiteBLevel의 레벨을 지정합니다. 기본값은 없습니다. 제공된 값은 com.ibm.websphere.security.suiteb 보안 사용자 정의 특성에서 설정됩니다. (문자열, 선택적)
올바른 값은 다음과 같습니다.
  • 128 – 이 값을 설정하면 시스템이 Suite B 128을 준수하도록 구성됩니다.
  • 192 - 이 값을 설정하면 시스템이 Suite B 192를 준수하도록 구성됩니다.

리턴값:

세 개의 키(CAN_NOT_CONVERT, CAN_CONVERT 및 MEET_SECURITY_LEVEL)가 있는 attributeList 목록입니다. 키마다 하나의 attributeList 목록이 리턴됩니다. 하나의 attributeList에는 인증서 정보(키 저장소, managementScope, 별명 및 이유)가 포함됩니다. 예를 들어 다음과 같습니다.
{conversionStatus=CAN_NOT_CONVERT
   certificateInfo = { keystore = <keystore name>
                                     managementScope = <managementScope>
		                     alias = <certificate alias>
                                     reason = <reason why certificate can not be converted>
		                  } ...
{conversionStatus= CAN_CONVERT
  certificateInfo = { keystore = <keystore name>
                                    managementScope = <managementScope>
		                    alias = <certificate alias>
                                    reason = empty when certificate can be converted
                                  } ...
{conversionStatus=MEET_SECURITY_LEVEL
 certificateInfo = { keystore = <keystore name>
                                    managementScope = <managementScope>
		                    alias = <certificate alias>
                                    reason = empty when certificate already meets security level

예제

  • Jython 사용:
    wsadmin>$AdminTask listCertStatusForSecurityStandard {-fipsLevel SP800-131 -suiteBLevel 128 }
    
    {CAN_CONVERT {{keystore NodeDefaultKeyStore} {managementScope (cell):testNode
    01Cell:(node):testNode01} {alias default} {reason {Current SignatureAlgorithm
     is SHA256withRSA. SignatureAlgorithm needs to be one of [SHA256withECDSA] to be
     compliant with SP 800-131 - Suite B 128. }}
    {keystore NodeDefaultRootStore} {managementScope (cell):testNode01Cell:(node)
    :testNode01} {alias root} {reason {Current SignatureAlgorithm is SHA256withRS
    A. SignatureAlgorithm needs to be one of [SHA256withECDSA] to be compliant with
    SP 800-131 - Suite B 128. }} }} {CAN_NOT_CONVERT {}} {MEET_SECURITY_STANDARD {}}

convertCertForSecurityStandard

convertCertForSecurityStandard 명령은 SSL 구성 및 플러그인에서 사용되는 모든 인증서를 변환합니다.

대상 오브젝트

없음.

필수 매개변수

없음.

선택적 매개변수

-fipsLevel
사용할 보안 표준의 레벨을 지정합니다. (문자열, 선택사항).기본값은 없습니다. 올바른 값은 다음과 같습니다.
FIPS140-2
이 값을 설정하면 시스템이 Fips 140-2 모드를 준수하도록 구성됩니다.
transition
이 값을 설정하면 시스템이 SP800-131 상태 전이 모드를 준수하도록 구성됩니다.
SP800-131
이 값을 설정하면 시스템이 SP800-131 strict 모드를 준수하도록 구성됩니다.

제공된 값은 com.ibm.websphere.security.FIPSLevel 보안 사용자 정의 특성에서 설정됩니다.

fipsLevel 또는 suiteBLevel을 지정해야 합니다.

-suiteBLevel
suiteBLevel의 레벨을 지정합니다. 기본값은 없습니다. 제공된 값은 com.ibm.websphere.security.suiteb 보안 사용자 정의 특성에서 설정됩니다. (문자열, 선택적)
올바른 값은 다음과 같습니다.
  • 128 – 이 값을 설정하면 시스템이 Suite B 128을 준수하도록 구성됩니다.
  • 192 - 이 값을 설정하면 시스템이 Suite B 192를 준수하도록 구성됩니다.
-signatureAlgorithem
signatureAlgorithm이 FipsLevel 및 suiteB를 준수하는지 확인합니다. 준수하면 signatureAlgorithm을 사용하여 인증서를 변환합니다. 그렇지 않으면, 준수하는 signatureAlgorithm을 사용하십시오. (문자열, 필수).
-keySize
keySize가 FipsLevel 및 suiteB를 준수하는지 확인합니다. 준수하면 해당 keySize를 사용하여 인증서를 변환합니다. 그렇지 않으면, signatureAlgorithm에 최소값을 사용하십시오.

리턴값:

{conversionStatus=CAN_NOT_CONVERT
certificateInfo = {keystore = <keystore name>
                                    managementScope = <managementScope>
		                    alias = <certificate alias>
                                    reason = <reason why certificate can not be converted>
		              } ...
{conversionStatus=MEET_SECURITY_STANDARD
certificateInfo = {keystore = <keystore name>
                                    managementScope = <managementScope>
		                    alias = <certificate alias>
                                    reason = empty when certificate meets security standard.
                              } ...

예제

  • Jacl 사용:
    wsadmin> $AdminTask convertCertForSecurityStandard {-fipsLevel FIPS140-2 -signatureAlgorithm 
    SHA256withRSA -keySize 2048 }
    
    {CAN_CONVERT {}} {CAN_NOT_CONVERT {}} {MEET_SECURITY_STANDARD {{keystore NodeDef
    aultRootStore} {managementScope (cell):testNode01Cell:(node):testNode01} {
    alias root} {reason {}}
    {keystore NodeDefaultKeyStore} {managementScope (cell):testNode01Cell:(node):
    testNode01} {alias default} {reason {}} }}

주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rxml_fipscommands
파일 이름:rxml_fipscommands.html