Configurando Arquivos Java Secure Socket Extension do Federal Information Processing Standard
Utilize este tópico para configurar os arquivos Java™ Secure Socket Extension do Federal Information Processing Standard.
Sobre Esta Tarefa
- SSL_RSA_WITH_AES_128_CBC_SHA
- SSL_RSA_WITH_3DES_EDE_CBC_SHA
- SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA
- SSL_DHE_RSA_WITH_AES_128_CBC_SHA
- SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
- SSL_DHE_DSS_WITH_AES_128_CBC_SHA
- SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Ao ativar a opção Usar os algoritmos do Federal Information Processing Standard (FIPS) dos Estados Unidos no certificado SSL do servidor e no painel de gerenciamento principal, o tempo de execução usa sempre o IBMJSSE2, independentemente do contextProvider especificado para SSL (IBMJSSE ou IBMJSSE2S). Além disso, como FIPS exige que o protocolo SSL seja TLS, o tempo de execução sempre utiliza TLS quando FIPS estiver ativado, independente da configuração do protocolo SSL no repertório SSL. Isso simplifica a configuração do FIPS no Versão 9.0, pois um administrador precisa ativar apenas a opção Utilizar Algoritmos FIPS (Federal Information Processing Standard) nos Estados Unidos no painel de gerenciamento de certificado e chave SSL do servidor para ativar todos os transportes utilizando SSL.
Procedimento
O que Fazer Depois
- Por padrão, o Microsoft Internet Explorer pode não ter o TLS
ativado. Para
ativar o TLS, abra o navegador Internet Explorer e clique em Ferramentas > Opções da
Internet. Na guia Avançado, selecione a opção
Utilizar TLS 1.0. Nota: O Netscape Versão 4.7.x e versões anteriores podem não suportar o TLS.
- Ao selecionar a opção Utilizar o FIPS (Federal Information Processing Standard) no certificado SSL e o painel de gerenciamento de chaves, o formato de token LTPA (Lightweight Third-Party Authentication) não é compatível com as versões de releases anteriores do WebSphere Application Server. No entanto, você pode importar as chaves LTPA de uma versão anterior do servidor de aplicativos.
- Nota: A limitação atual do WebSphere é que o comprimento da chave em chaves secretas não é avaliado pela conformidade com FIPS sp800-131a. Se as chaves secretas estiverem no keystore, verifique o comprimento da chave usando iKeyman no diretório {WebSphere_install_dir}\java\jre\bin ou usando outras ferramentas do keystore.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
ADMU3007E: Exception com.ibm.websphere.management.exception.ConnectorException
Remova o comentário da seguinte entrada no arquivo java.security se ela foi removida
ou comentada anteriormente e, em seguida, reinicie o servidor:security.provider.2=com.ibm.crypto.provider.IBMJCE
- IBMJCEFIPS (certificado 376)
- ICC (IBM Cryptography for C) (certificado 384)
- No arquivo ssl.client.props, você deve alterar o valor de com.ibm.security.useFIPS para false.
No arquivo java.security, você deve alterar o provedor FIPS para um provedor não-FIPS.
Se você estiver utilizando o arquivo java.security do IBM SDK, será necessário alterar o primeiro provedor para um provedor não FIPS conforme mostrado no seguinte exemplo:#security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.1=com.ibm.crypto.provider.IBMJCE security.provider.2=com.ibm.jsse.IBMJSSEProvider security.provider.3=com.ibm.jsse2.IBMJSSEProvider2 security.provider.4=com.ibm.security.jgss.IBMJGSSProvider security.provider.5=com.ibm.security.cert.IBMCertPath #security.provider.6=com.ibm.crypto.pkcs11.provider.IBMPKCS11
Se estiver utilizando o arquivo java.security do Sun SDK, você deve alterar o terceiro provedor para um provedor não-FIPS, conforme mostrando no exemplo a seguir:security.provider.1=sun.security.provider.Sun security.provider.2=com.ibm.security.jgss.IBMJGSSProvider security.provider.3=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.4=com.ibm.crypto.provider.IBMJCE security.provider.5=com.ibm.jsse.IBMJSSEProvider security.provider.6=com.ibm.jsse2.IBMJSSEProvider2 security.provider.7=com.ibm.security.cert.IBMCertPath #security.provider.8=com.ibm.crypto.pkcs11.provider.IBMPKCS11
Edite o arquivo java.security para remover o provedor FIPS e renumerar os provedores como no exemplo a seguir:
security.provider.1=sun.security.provider.Sun #security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.2=com.ibm.crypto.provider.IBMJCE security.provider.3=com.ibm.jsse.IBMJSSEProvider security.provider.4=com.ibm.jsse2.IBMJSSEProvider2 security.provider.5=com.ibm.security.jgss.IBMJGSSProvider security.provider.6=com.ibm.security.cert.IBMCertPath security.provider.7=com.ibm.i5os.jsse.JSSEProvider #security.provider.8=com.ibm.crypto.pkcs11.provider.IBMPKCS11 security.provider.8=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
![[z/OS]](../images/ngzos.gif)
- Reduza o nível do conjunto de ciptografia para médio, se o seu nível do conjunto de criptografia está atualmente Forte.
Evitar Problemas: É possível mudar o nível do conjunto de criptografia para níveis diferentes do seu ambiente como o nível do nó ou do servidor. Limite a mudança para o nível do seu ambiente no qual a mudança é necessária.gotcha
Para mudar o conjunto dr criptografia, consulte as informações sobre os grupos do conjunto de criptografia dentro da documentação das configurações de qualidade de proteção. Se você mudar o nível do conjunto de criptografia para Médio, salve e sincronize as mudanças. Se a opção Atualizar dinamicamente o tempo de execução quando as mudanças de configuração SSL ocorrerem estiver selecionada, não é necessário reiniciar o servidor. Porém, se a opção não estiver selecionada, você deve reiniciar o servidor para as mudanças entrarem em vigor. A opção Atualizar dinamicamente o tempo de execução quando as mudanças de configuração SSL ocorrerem está disponível dentro do console administrativo no painel Certificado SSL e gerenciamento de chave. Para acessar o painel, clique em .
- Instale o nível de segurança 3 FMID JCPT3A1 para o sistema operacional z/OS.
O nível de segurança 3 FMID JCPT3A1 é a implementação do sistema operacional z/OS dos provedores criptográficos aprovados por FIPS 140-2s.