연방 정보 처리 규격 Java 보안 소켓 확장 파일 구성
연방 정보 처리 규격 Java™ 보안 소켓 확장 파일을 구성하려면 이 주제를 사용하십시오.
이 태스크 정보
- SSL_RSA_WITH_AES_128_CBC_SHA
- SSL_RSA_WITH_3DES_EDE_CBC_SHA
- SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA
- SSL_DHE_RSA_WITH_AES_128_CBC_SHA
- SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
- SSL_DHE_DSS_WITH_AES_128_CBC_SHA
- SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
서버 SSL 인증서 및 키 관리 패널에서 연방 정보 처리 규격(FIPS) 알고리즘 사용 옵션을 사용 가능으로 설정하면 런타임은 사용자가 SSL(IBMJSSE 또는 IBMJSSE2S)에 지정하는 contextProvider에도 불구하고 항상 IBMJSSE2를 사용합니다. 또한 FIPS에는 SSL 프로토콜이 TLS이도록 요구하므로 런타임은 SSL 레퍼토리에서 SSL 프로토콜 설정에도 불구하고 FIPS가 사용 가능하면 항상 TLS를 사용합니다. 이는 관리자가 SSL을 사용하여 모든 전송을 사용 가능으로 설정하기 위해 서버 SSL 인증서 및 키 관리 패널에서 연방 정보 처리 규격(FIPS) 알고리즘 사용 옵션만을 사용 가능으로 설정하면 되므로 버전 9.0에서 FIPS 구성을 단순화해줍니다.
프로시저
다음에 수행할 작업
- 기본적으로, Microsoft Internet
Explorer에는 TLS가 사용 가능으로 설정되지 않을 수도 있습니다. TLS를 사용 가능으로 설정하려면
Internet Explorer 브라우저를 열고 도구 > 인터넷 옵션을 클릭하십시오. 고급 탭에서
TLS 1.0 사용 옵션을 선택하십시오. 참고: Netscape 버전 4.7.x 및 이전 버전은 TLS를 지원하지 않을 수도 있습니다.
- SSL 인증서 및 키 관리 패널에서 연방 정보 처리 규격(FIPS) 사용 옵션을 선택하면 LTPA(Lightweight Third-Party Authentication) 토큰 형식은 WebSphere Application Server의 이전 릴리스와 호환되지 않습니다. 그러나, Application Server의 이전 버전으로부터 LTPA 키를 가져올 수 있습니다.
- 참고: 현재 WebSphere 제한사항은 비밀 키의 키 길이가 FIPS sp800-131a 준수에 대해 평가받지 않는다는 것입니다. 비밀 키가 키 저장소에 있으면, {WebSphere_install_dir}\java\jre\bin 디렉토리에서 iKeyman을 사용하거나 다른 키 저장소 도구를 사용하여 키 길이를 확인하십시오.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
ADMU3007E: Exception com.ibm.websphere.management.exception.ConnectorException
이전에 제거되었거나 주석 처리된 경우에는
java.security 파일에서 다음 항목을 주석 해제한 다음 서버를 다시 시작하십시오. security.provider.2=com.ibm.crypto.provider.IBMJCE
- IBMJCEFIPS(인증서 376)
- C(ICC)를 위한 IBM 암호화(인증서 384)
- ssl.client.props 파일에서 com.ibm.security.useFIPS 값을 false로 변경해야 합니다.
java.security 파일에서 FIPS 제공자를 비FIPS 제공자로 변경해야 합니다.
IBM SDK java.security 파일을 사용 중인 경우에는 다음 예에 표시된 대로 첫 번째 제공자를 비FIPS 제공자로 변경해야 합니다.#security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.1=com.ibm.crypto.provider.IBMJCE security.provider.2=com.ibm.jsse.IBMJSSEProvider security.provider.3=com.ibm.jsse2.IBMJSSEProvider2 security.provider.4=com.ibm.security.jgss.IBMJGSSProvider security.provider.5=com.ibm.security.cert.IBMCertPath #security.provider.6=com.ibm.crypto.pkcs11.provider.IBMPKCS11
Sun JDK java.security 파일을 사용 중인 경우에는 다음 예에 표시된 대로 세 번째 제공자를 비FIPS 제공자로 변경해야 합니다.security.provider.1=sun.security.provider.Sun security.provider.2=com.ibm.security.jgss.IBMJGSSProvider security.provider.3=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.4=com.ibm.crypto.provider.IBMJCE security.provider.5=com.ibm.jsse.IBMJSSEProvider security.provider.6=com.ibm.jsse2.IBMJSSEProvider2 security.provider.7=com.ibm.security.cert.IBMCertPath #security.provider.8=com.ibm.crypto.pkcs11.provider.IBMPKCS11
java.security 파일을 편집하여 FIPS 제공자를 제거하고 다음 예에서처럼 제공자의 번호를 다시 지정하십시오.
security.provider.1=sun.security.provider.Sun #security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.2=com.ibm.crypto.provider.IBMJCE security.provider.3=com.ibm.jsse.IBMJSSEProvider security.provider.4=com.ibm.jsse2.IBMJSSEProvider2 security.provider.5=com.ibm.security.jgss.IBMJGSSProvider security.provider.6=com.ibm.security.cert.IBMCertPath security.provider.7=com.ibm.i5os.jsse.JSSEProvider #security.provider.8=com.ibm.crypto.pkcs11.provider.IBMPKCS11 security.provider.8=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
![[z/OS]](../images/ngzos.gif)
- 암호화 스위트 레벨이 현재 강인 경우에는 암호 스위트 레벨을 중간으로 줄이십시오.
문제점 방지: 노드 또는 서버 레벨 등과 같이 사용자 환경의 다른 레벨마다 암호화 스위트 레벨을 변경할 수 있습니다. 변경이 필요한 사용자 환경의 레벨의 변경사항을 제한하십시오. gotcha
암호화 스위트를 변경하려면 보호 품질 설정 문서 내의 암호화 스위트 그룹 정보를 참조하십시오. 암호화 스위트 레벨을 중간으로 변경하는 경우에는 변경사항을 저장하고 동기화하십시오. SSL 구성 변경이 발생할 때 동적으로 런타임 업데이트 옵션이 선택된 경우 서버를 다시 시작할 필요가 없습니다. 그러나 옵션이 선택되지 않은 경우에는 변경사항을 적용하려면 서버를 다시 시작해야 합니다. SSL 구성 변경이 발생할 때 동적으로 런타임 업데이트 옵션이 관리 콘솔 내에서 SSL 인증서 및 키 관리 패널에서 사용 가능합니다. 패널에 액세스하려면 를 클릭하십시오.
- z/OS® 운영 체제에 대해 보안 레벨 3 FMID JCPT3A1을 설치하십시오.
보안 레벨 3 FMID JCPT3A1은 FIPS 140-2 승인된 암호 제공자의 z/OS 운영 체제 구현입니다.