Executando a Transição do WebSphere Application Server para a Norma de Segurança SP800-131

A norma 800-131 de Special Publications (SP) do National Institute of Standards and Technology (NIST) fortalece algoritmos e aumenta os comprimentos das chaves para melhorar a segurança. A norma também fornece um período de transição a ser movido para a nova norma. É possível configurar o WebSphere Application Server para o modo de transição da norma SP800-131.

Antes de Iniciar

Leia o tópico "Configurações das Normas de Segurança do WebSphere Application Server" para obter mais informações básicas sobre normas de segurança.

Sobre Esta Tarefa

O período de transição permite que um usuário execute em um ambiente misto de configurações não suportadas sobre a norma, juntamente com aquelas que são suportadas. A norma NIST SP800-131 requer que os usuários sejam configurados no cumprimento estrito da norma por um intervalo de tempo específico. Consulte o website O National Institute of Standards and Technology para obter detalhes adicionais.

As opções de transição poderão ser muito úteis ao tentar obter a SP800-131 strict. Os servidores podem aceitar um misto de configurações antigas e novos requisitos. Por exemplo, eles podem converter os certificados, mas continuam a usar o protocolo TLS.

O WebSphere Application Server pode ser configurado para executar a SP800-131 em um modo transition ou em um modo strict. Para obter informações sobre como configurar o modo estrito, leia o tópico da norma de segurança Configurando o WebSphere Application Server para o modo SP800-131 estrito.

Para executar no modo de transição da SP800-131, o servidor também deve estar em uma definição de configuração específica. Outros requisitos estritos podem ser incluídos, conforme desejado.
  • A propriedade de sistema com.ibm.jsse2.sp800-131 deve ser configurada como transition para que o JSSE seja executado no modo de transição.
  • Os protocolos de configuração do SSL devem ser uma das configurações do TLS. Os valores válidos incluem TLS, TLSv1, TLSv1.1 e TLSv1.2.

Procedimento

  1. Clique em Security Certificado SSL e Gerenciamento de Chave Gerenciar FIPS
  2. Selecione o botão de opções Ativar SP800-131.
  3. Selecione o botão de opções Transição.
  4. Você tem a opção de alterar os protocolos na configuração do SSL para TLSv1.2 selecionando opcionalmente a caixa Atualizar a Configuração do SSL para Requerer o TLSv1.2. Se você não selecionar essa caixa, todas as configurações do SSL serão configuradas como TLS.
  5. Clique em Aplicar/Salvar.
  6. Reinicie os servidores. Se seu servidor estiver ativado com Atualização de SSL Dinâmica, edite o arquivo ssl.client.props e altere a propriedade com.ibm.ssl.protocol para ter o mesmo protocolo que você configurou para o servidor antes de reiniciar o servidor.

    Quando essas mudanças forem aplicadas e o servidor for reiniciado, todas as configurações do SSL no servidor serão modificadas para usar o protocolo TLS ou TLSv1.2 e a propriedade de sistema com.ibm.jsse2.sp800-131 será configurada como transition. A configuração do SSL usa a cifra do SSL apropriada para a norma.

    Antes que seja possível mover para o certificado de modo estrito, o protocolo na configuração deve atender os requisitos estritos.

    É possível acessar diretamente a configuração do SSL e configurar os protocolos como TLSv1.2 fazendo o seguinte:

  7. Clique em SegurançaCertificado SSL e Gerenciamento de ChaveConfigurações de SSL.
  8. Selecione uma configuração do SSL do painel de coleção.
  9. Em Itens relacionados, selecione Qualidade de proteção (QoP).
  10. Selecione o TLSv1.2 do protocolo rotulado da caixa de menu suspenso
  11. Clique em Aplicar/Salvar. Para alterar o protocolo SSL usando o script, a tarefa modifySSLConfig também pode ser usada.

    Os certificados devem ter um tamanho mínimo de 2048 (244 se for um certificado de Curva Elíptica) e assinado com SHA256, SHA384 ou SHA512. É possível criar novos certificados no console e substituir o antigo ou importar certificados que atendam aos requisitos das normas.

    Há um número de opções que é possível usar para substituir os certificados.
    • Use o painel Converter Certificado. Esse painel converte todos os certificados para atender a norma especificada.
      1. Clique em SegurançaCertificado SSL e Gerenciamento de ChaveGerenciar FIPSConverter Certificado.
        Nota: Se houver certificados na caixa rotulada Certificados que não possam ser convertidos, um certificado não poderá ser convertido usando essa opção.
      2. Selecione o botão de opções Estrito e escolha qual signatureAlgorithm usar ao criar os certificados novos da caixa de menu suspenso.
      3. Selecione o tamanho do certificado da caixa de menu suspenso rotulada Novo Tamanho de Chave do Certificado. Observe que os algoritmos de assinatura da Curva Elíptica requerem um tamanho específico, portanto, não há necessidade de fornecer o tamanho.
      4. Clique em Aplicar/Salvar.

        A tarefa de script convertCertForSecurityStandard também pode ser usada para converter todos os certificados para atender um padrão especificado.

    • Use os painéis de certificado pessoal para criar novos certificados e substituir um certificado que não atende os requisitos, fazendo o seguinte:
      1. Clique em Segurança Certificado SSL e Gerenciamento de Chaves Armazenamentos de Chaves e Certificados.
      2. Selecione um keystore do painel de coleção.
      3. Selecione Certificado Pessoal.
        1. Na lista suspensa no botão Criar, selecione Certificado Autoassinado.
        2. Insira um alias para o certificado. Selecione um algoritmo de assinatura para o certificado que é assinado com SHA256, SHA384 ou SHA512. Escolha um tamanho que seja 2048 ou maior. Observe que os algoritmos de assinatura da Curva Elíptica requerem um tamanho específico, portanto, não há necessidade de especificar um tamanho.
        3. Clique em Aplicar/Salvar.
        4. Volte para o painel de coleção de certificado Pessoal e selecione o certificado que não atende a norma. Clique em Substituir (Replace).
        5. No painel Substituir, selecione um certificado criado que atenda a norma da lista suspensa na caixa rotulada Substituir por.
        6. Selecione Excluir o Certificado Antigo após a substituição e Excluir Caixas de Assinante Antigo.
        7. Clique em Aplicar/Salvar.
          Nota: Para substituir certificados em cadeia, um certificado raiz que atenda às normas deverá ser criado. Siga o caminho de navegação anterior para o certificado raiz no defaultRootStore, em seguida, crie um certificado em cadeia com esse novo certificado raiz.

          A tarefa de script createSelfSigneCertificate também pode ser usada para criar certificado autoassinado. A tarefa de script replaceCertificate também pode ser usada para substituir o novo certificado pelo antigo.

    • Use os painéis de certificado pessoal para importar certificados e substituir o certificado que não atenda os requisitos. Algum certificado fornecido das origens externas, como por exemplo, uma Autoridade de Certificação (CA).
      1. Clique em Segurança Certificado SSL e Gerenciamento de Chaves Armazenamentos de Chaves e Certificados.
      2. Selecione um keystore do painel de coleção.
      3. Selecione Certificado Pessoal.
        1. Selecione Importar Certificado.
        2. Insira as informações necessárias para acessar o certificado em um arquivo keystore existente.
        3. Clique em Aplicar/Salvar.
        4. Volte para o painel de coleção de certificado Pessoal e selecione o certificado que não atende a norma. Clique no botão Substituir.
        5. No painel Substituir, selecione um certificado criado que atenda a norma da lista suspensa na caixa rotulada Substituir por. Selecione Excluir o Certificado Antigo após a Substituição e Excluir Caixas de Assinante Antigo.
        6. Clique em Aplicar/Salvar.

          A tarefa de script importCertificate também pode ser usada para importar um certificado. A tarefa de script replaceCertificate também pode ser usada para substituir o novo certificado pelo antigo.

  12. Para ativar SP800-131 estrito, clique em SegurançaCertificado SSL e Gerenciamento de ChaveGerenciar FIPS.
  13. Clique em Ativar SP800-131.
  14. Clique em Estrito.
  15. Clique em Aplicar/Salvar.
  16. Reinicie os servidores e sincronize manualmente os nós para que as mudanças entrem em vigor. Para sincronizar manualmente os nós, pode ser necessário modificar o arquivo ssl.client.props para cada nó para corresponder ao protocolo do gerenciador de implementação. Edite o arquivo ssl.client.props para cada nó e altere a propriedade com.ibm.ssl.protocol para corresponder ao protocolo do gerenciador de implementação para que um nó de sincronização manual possa ocorrer.
  17. Configure o arquivo client ssl.client.props para corresponder ao padrão de Segurança que está sendo executado: modo esrito ou modo de transição.
    Edite o arquivo ssl.client.props conforme a seguir:
    1. Modifique a propriedade com.ibm.security.useFIPS para ser configurada comotrue.
    2. Inclua a propriedade com.ibm.websphere.security.FIPSLevel logo após a propriedade useFips. Configure a propriedade como SP800-131 se o modo estrito estiver ativado e transition se o modo de transição estiver ativado.
    3. Altere a propriedade com.ibm.ssl.protocol para TLSv1.2 se o modo estrito estiver ativado. Se o modo de transição estiver ativado, assegure-se de que a propriedade corresponda à configuração do protocolo do servidor.
  18. Reinicie seus servidores e sincronize manualmente seus nós.

    Suas mudanças não têm efeito até que os nós sejam sincronizados.

    Se você estiver executando em um ambiente em cluster:

    1. Certifique-se de que o console administrativo esteja encerrado.
    2. Certifique-se de que não haja JVMs em execução no servidor:
      • Pare todos os servidores.
      • Pare o agente do nó.
      • Pare o gerenciador de implementação.
    3. Limpe todo o conteúdo nas pastas temp.
      <profile_root>/wstemp/
      <profile_root>/temp/
      <profile_root>/config/temp/
      <profile_root>/logs/dmgr/
      <profile_root>/servers/nodeagent/configuration/
      <profile_root>/servers/<server_name>/configuration/
    4. Inicialize a configuração do OSGI executando osgiCfgInit.
      was_profile_root/profile/bin/osgiCfgInit.bat
      Profile is your dmgr01/bin profile.
    5. Limpe o cache de classe OSGI executando clearClassCache.
      was_profile_root/profile_name/bin/clearClassCache.bat

      em que profile_name é seu perfil dmgr01/bin.

    1. Inicie o Deployment Manager.
    1. Sincronize manualmente os nós.
      1. Inicie a ferramenta wsadmin se ela ainda não estiver em execução.
      2. Em was_home/profiles/profile_name/bin, emita o comando syncNode a seguir.
        syncNode
        dmgr_host dmgr_port 

        em que profile_name é seu perfil dmgr01/bin.

        Se a segurança estiver ativada, inclua os parâmetros -username e -password quando emitir este comando:
        syncNode
        dmgr_host dmgr_port -username user_name -password
        pass_word 
    2. Inicie o agente do nó.
    3. Inicie todos os outros servidores.

O que Fazer Depois

O navegador usado para acessar o console administrativo ou um aplicativo deve usar um protocolo compatível com o servidor. Se o servidor estiver em execução em um modo de transição, o navegador deverá ser configurado para usar o protocolo que corresponde ao servidor. A norma SP800-131 requer que a conexão SSL use o protocolo TLSv1.2, portanto, o navegador deve suportar o TLSv1.2 e usá-lo para acessar o console administrativo.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_transition_sp300
Nome do arquivo: tsec_transition_sp300.html