Grupo de Comandos FIPSCommands para o Objeto AdminTask
É possível usar os idiomas do script de Jython ou de Jacl para configurar o Federal Information Processing Standards (FIPS) com a ferramenta wsadmin.
enableFips
O comando enableFips ativa ou desativa um nível de segurança especificado.Objeto de destino
Nenhuma.
Parâmetros Necessários
- -enableFips
- Se esse sinalizador for configurado como true, o FIPS será ativado no nível de segurança especificado por outros parâmetros. Se o sinalizador for configurado como false, o FIPS será desativado e outros parâmetros serão ignorados. O valor desse parâmetro é configurado como a propriedade customizada de segurança com.ibm.security.useFIPS. (Booleano necessário)
Parâmetros Opcionais
- -fipsLevel
- Especifica o nível da norma de segurança a ser usado. (String, opcional). Não há valor padrão. Os valores válidos
incluem:
- FIPS140-2
- Se esse valor for configurado, o sistema será definido para cumprir com o modo Fips 140-2.
- transição
- Se esse valor for configurado, o sistema será definido para cumprir com o modo de transição SP800-131.
- SP800-131
- Se esse valor for configurado, o sistema será definido para cumprir com o modo estrito SP800-131.
O valor fornecido é configurado na propriedade customizada de segurança com.ibm.websphere.security.FIPSLevel.
O fipsLevel ou o suiteBLevel deve ser especificado.
- -suiteBLevel
- Especifica o nível do suiteBLevel. Não há valor padrão.
O valor fornecido é configurado na propriedade customizada de segurança
com.ibm.websphere.security.suiteb. (String, opcional)Os valores válidos são:
- 128 – se esse valor for configurado, o sistema será definido para cumprir com o Suite B 128.
- 192 - se esse valor for configurado, o sistema será definido para cumprir com o Suite B 192.
- -protocol
- Defina o protocolo para a configuração do Secure Sockets Layer (SSL). Esse parâmetro é usado apenas quando o sinalizador -fipsLevel for configurado como transição. Para outro fipsLevels, o protocolo SSL já está definido pela especificação. Os valores válidos para a transição são: TLS, TLSv1.1 e TLSv1.2. Observe que o console administrativo mostra apenas o TLS e o TLSv1.2 como valores válidos. O TLS1.1 pode ser especificado em uma linha de comandos. (String, opcional)
Valores de retorno:
True (sucesso) ou false (falha). Se false, uma razão para a falha será registrada no System.Out.log.Exemplos
- Usando a sequência Jacl:
$AdminTask enableFips {-enableFips true -fipsLevel transition } verdadeiro
getFipsInfo
O comando getFipsInfo retorna um attributeList com a configuração do FIPS. As configurações são fipsEnabled, fipsLevel e suiteBLevel.
Objeto de destino
Nenhum.Parâmetros Necessários
Nenhuma.
Valor de retorno:
O comando getFipsInfo retorna um attributeList com a configuração do FIPS. Por exemplo: se o FIPS for desativado, o fipsLevel e o suiteBLevel serão sequências vazias. Exemplo:Modo de segurança | Retorna valores do getFipsInfo |
---|---|
Fips não ativados | fipsEnabled=false |
FIPS140-2 | ipsEnabled=true |
SP800-131 - Transição | fipsEnabled=true |
SP800-131 - Estrito | fipsEnabled=true |
Suite B 128 | fipsEnabled=true |
Suite B 192 | fipsEnabled=true |
Exemplos
- Utilizando
Jacl:
$AdminTask getFipsInfo {fipsEnabled true} {fipsLevel SP800-131} {suiteBLevel {}}
listCertStatusForSecurityStandard
O comando listCertStatusForSecurityStandard retorna todos os certificados usados pela configuração e plug-ins do SSL e declaram se eles cumprem com o nível de segurança solicitado.
Objeto de destino
Nenhum.Parâmetros Necessários
Nenhuma.Parâmetros Opcionais
- -suiteBLevel
- Ativa ou desativa o FIPS. Não há valor padrão. Quando o sinalizador for configurado como true, a propriedade customizada de segurança com.ibm.security.useFips será configurada como true. Se o sinalizador for configurado como false, a propriedade customizada de segurança com.ibm.security.useFips será configurada como false e outros sinalizadores serão ignorados. (String, opcional)
- -fipsLevel
- Especifica o nível da norma de segurança a ser usado. (String, opcional). Não há valor padrão. Os valores válidos
incluem:
- FIPS140-2
- Se esse valor for configurado, o sistema será definido para cumprir com o modo Fips 140-2.
- transição
- Se esse valor for configurado, o sistema será definido para cumprir com o modo de transição SP800-131.
- SP800-131
- Se esse valor for configurado, o sistema será definido para cumprir com o modo estrito SP800-131.
O valor fornecido é configurado na propriedade customizada de segurança com.ibm.websphere.security.FIPSLevel.
O fipsLevel ou o suiteBLevel deve ser especificado.
- -suiteBLevel
- Especifica o nível do suiteBLevel. Não há valor padrão.
O valor fornecido é configurado na propriedade customizada de segurança
com.ibm.websphere.security.suiteb. (String, opcional)Os valores válidos são:
- 128 – se esse valor for configurado, o sistema será definido para cumprir com o Suite B 128.
- 192 - se esse valor for configurado, o sistema será definido para cumprir com o Suite B 192.
Valor de retorno:
Uma lista attributeList que possui três chaves: CAN_NOT_CONVERT, CAN_CONVERT e MEET_SECURITY_LEVEL. Para cada chave, uma lista de attributeList é retornada. Uma attributeList contém informações de certificado: keystore, managementScope, alias e reason. Exemplo:{conversionStatus=CAN_NOT_CONVERT
certificateInfo = { keystore = <keystore name>
managementScope = <managementScope>
alias = <certificate alias>
reason = <reason why certificate can not be
converted>
} ...
{conversionStatus= CAN_CONVERT
certificateInfo = { keystore = <keystore name>
managementScope = <managementScope>
alias = <certificate alias>
reason = empty when certificate can be converted
} ...
{conversionStatus=MEET_SECURITY_LEVEL
certificateInfo = { keystore = <keystore name>
managementScope = <managementScope>
alias = <certificate alias>
reason = empty when certificate already meets
security level
Exemplos
- Utilizando Jython:
wsadmin>$AdminTask listCertStatusForSecurityStandard {-fipsLevel SP800-131 -suiteBLevel 128 } {CAN_CONVERT {{keystore NodeDefaultKeyStore} {managementScope (cell):testNode 01Cell:(node):testNode01} {alias default} {reason {O SignatureAlgorithm atual é SHA256withRSA. O SignatureAlgorithm precisa ser um dos [SHA256withECDSA] para ser complacente com o SP 800-131 - Suite B 128. }} {keystore NodeDefaultRootStore} {managementScope (cell):testNode01Cell:(node) :testNode01} {raiz do alias} {reason {O SignatureAlgorithm atual é SHA256withRS A. O SignatureAlgorithm precisa ser um dos [SHA256withECDSA] para ser complacente com o SP 800-131 - Suite B 128. }} }} {CAN_NOT_CONVERT {}} {MEET_SECURITY_STANDARD {}}
convertCertForSecurityStandard
O comando convertCertForSecurityStandard converte todos os certificados usados pela configuração e SSL plug-ins do SSL.
Objeto de destino
Nenhum.Parâmetros Necessários
Nenhuma.Parâmetros Opcionais
- -fipsLevel
- Especifica o nível da norma de segurança a ser usado. (String, opcional). Não há valor padrão. Os valores válidos
incluem:
- FIPS140-2
- Se esse valor for configurado, o sistema será definido para cumprir com o modo Fips 140-2.
- transição
- Se esse valor for configurado, o sistema será definido para cumprir com o modo de transição SP800-131.
- SP800-131
- Se esse valor for configurado, o sistema será definido para cumprir com o modo estrito SP800-131.
O valor fornecido é configurado na propriedade customizada de segurança com.ibm.websphere.security.FIPSLevel.
O fipsLevel ou o suiteBLevel deve ser especificado.
- -suiteBLevel
- Especifica o nível do suiteBLevel. Não há valor padrão.
O valor fornecido é configurado na propriedade customizada de segurança
com.ibm.websphere.security.suiteb. (String, opcional)Os valores válidos são:
- 128 – se esse valor for configurado, o sistema será definido para cumprir com o Suite B 128.
- 192 - se esse valor for configurado, o sistema será definido para cumprir com o Suite B 192.
- -signatureAlgorithem
- Verifica se o signatureAlgorithm é compatível com o FipsLevel e o suiteB. Se compatível, use o signatureAlgorithm para converter os certificados. Se não, use um signatureAlgorithm compatível. (Cadeia, obrigatória)
- -keySize
- Verifica se o keySize é compatível ao FipsLevel e suiteB. Se compatível, use o keySize para converter os certificados. Se não, use o valor mínimo para o signatureAlgorithm.
Valor de retorno:
{conversionStatus=CAN_NOT_CONVERT
certificateInfo = {keystore = <keystore name>
managementScope = <managementScope>
alias = <certificate alias>
reason = <reason why certificate can not be
converted>
} ...
{conversionStatus=MEET_SECURITY_STANDARD
certificateInfo = {keystore = <keystore name>
managementScope = <managementScope>
alias = <certificate alias>
reason = empty when certificate meets security
standard.
} ...
Exemplos
- Utilizando
Jacl:
wsadmin> $AdminTask convertCertForSecurityStandard {-fipsLevel FIPS140-2 -signatureAlgorithm SHA256withRSA -keySize 2048 } {CAN_CONVERT {}} {CAN_NOT_CONVERT {}} {MEET_SECURITY_STANDARD {{keystore NodeDef aultRootStore} {managementScope (cell):testNode01Cell:(node):testNode01} { raiz do alias} {reason {}} {keystore NodeDefaultKeyStore} {managementScope (cell):testNode01Cell:(node): testNode01} {alias do alias} {reason {}} }}