Configurando o WebSphere Application Server para a Norma de Segurança Suite B

É possível configurar o WebSphere Application Server para usar a nova norma de segurança Suite B.

Antes de Iniciar

Leia o tópico "Configurações das Normas de Segurança do WebSphere Application Server" para obter mais informações básicas sobre normas de segurança.

Sobre Esta Tarefa

O National Security Agency (NSA) criou uma estratégia de interoperabilidade criptográfica denominada Suite B. Ela coloca os requisitos específicos na norma SP800-131 do National Institute of Standards and Technology (NIST).

Requisitos do Suite B:

O WebSphere Application Server deve ser compatível com os requisitos do Suite B a seguir:
  • A configuração do SSL deve usar o protocolo TLSv1.2.
  • A propriedade de sistema com.ibm.jsse.suiteb deve ser configurada como 128 ou 192.
  • Os certificados em execução no modo de 128 bits devem ser criados com o algoritmo de assinatura SHA256withECDSA. Os certificados em execução no modo de 192 bits devem ser criados com o algoritmo de assinatura SHA384withECDSA.
    Nota: Para executar um modo de 192 bits, os arquivos de políticas irrestritas devem estar em vigor no JDK.
  • Os conjuntos de cifras aprovadas do Suite B devem ser usados.

Para configurar o servidor para a norma Suite B:

Procedimento

  1. Clique em Security > Certificado SSL e Gerenciamento de Chave > Gerenciar FIPS Para executar em um modo Suite B, todos os certificados usados para SSL no servidor devem ser convertidos em certificados que cumpram com os requisitos do Suite B.
  2. Para converter os certificados, em Itens Relacionados, clique em Converter Certificados.
  3. Selecione o botão de opções rotulado 128 bits ou 192 bits na caixa Algoritmo.
    Nota: Os algoritmos de assinatura da Curva Elíptica requerem tamanhos específicos, portanto você deve fornecer um tamanho.
  4. Clique em Aplicar/Salvar. Se nenhum certificado aparecer na caixa intitulada Certificados que não podem ser convertidos, será possível ativar o padrão.
    Se os certificados aparecerem na caixa intitulada Certificados que não podem ser convertidos, o servidor não poderá converter os certificados. Você deve substituir esses certificados por certificados que atendam os requisitos do Suite B. As razões pelas quais o servidor não pode converter os certificados podem incluir:
    • O certificado foi criado por uma Autoridade de Certificação (CA)
    • O certificado está em um keystore somente leitura

    Depois que os certificados forem convertidos para atender às especificações do Suite B, siga as etapas restantes para ativar o padrão do Suite B.

  5. Clique em Certificado SSL e Gerenciamento de Chave > Gerenciar FIPS.
  6. Selecione o Suite B: Aceitar a chave de 128 bits para o modo de 128 bits ou o Suite B: Aceitar a chave de 192 bits para o modo de 192 bits.
  7. Clique em Aplicar/Salvar.
  8. Reinicie os servidores e sincronize manualmente os nós para a norma Suite B entrar em vigor.

    Quando essas mudanças forem aplicadas e o servidor for reiniciado, as configurações do SSL no servidor serão modificadas para usar o protocolo TLSv1.2 e a propriedade de sistema com.ibm.jsse.suiteb será configurada como o modo Suite B desejado. A configuração do SSL usa as cifras do SSL apropriadas para a norma.

    Há tarefas wsadmin também disponíveis que podem ativar a norma Suite B usando o script. :
    • Verificar o status de certificados para a norma de segurança usando a tarefa listCertStatusForSecurityStandard.
    • Converter certificados para a norma de segurança usando a tarefa convertCertForSecurityStandard.
    • Ativar a norma de segurança usando a tarefa enableFips.
    • Para consultar a configuração da norma de segurança, use a tarefa getFipsInfo.
  9. Uma vez que o servidor é configurado para o modo SP800-131 estrito, o arquivo ssl.client.props deve ser modificado, para que os clientes administrativos sejam executados no modo SP800-131 estrito. Eles não podem fazer uma conexão SSL com o servidor com a mudança. Edite o arquivo ssl.client.props fazendo seguinte:
    1. Modifique o com.ibm.security.useFIPS para ser configurado como true.
    2. Inclua a propriedade com.ibm.jsse.suiteb e configure-a como 128 ou 192.
    3. Altere a propriedade com.ibm.ssl.protocol para TLSv1.2.

O que Fazer Depois

A norma Suite B requer que a conexão SSL use o protocolo TLSv1.2. Para um navegador acessar o console administrativo ou um aplicativo, o navegador deve suportar e primeiro ser configurado para usar o protocolo TLSv1.2.

Nota: Ao ativar as normas de segurança em uma Rede Implementada, o nó e o gerenciador de implementação poderão estar em um estado de protocolo incompatível. Como configurar a norma de segurança requer que o servidor seja reiniciado, é recomendado que todos os agentes e servidores do nó sejam interrompidos, deixando o gerenciador de implementação em execução. Uma vez que as mudanças na configuração são feitas através do console, reinicie o gerenciador de implementação.

Sincronize manualmente os nós com o syncNode e inicie os agentes e os servidores do nó. Para usar o syncNode, você pode precisar atualizar o arquivo ssl.client.props para se comunicar com o gerenciador de implementação.


Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_config_suiteb
Nome do arquivo: tsec_config_suiteb.html