Configurando o WebSphere Application Server para o Modo Estrito da Norma SP800-131

É possível configurar o WebSphere Application Server para usar o modo estrito da norma SP800-131.

Antes de Iniciar

Leia o tópico "Configurações das Normas de Segurança do WebSphere Application Server" para obter mais informações básicas sobre normas de segurança.

Sobre Esta Tarefa

A norma 800-131 de Special Publications (SP) do National Institute of Standards and Technology (NIST) fortalece algoritmos e aumenta os comprimentos das chaves para melhorar a segurança. A norma também fornece um período de transição a ser movido para a nova norma. O período de transição permite que um usuário execute em um ambiente misto de configurações não suportadas sobre a norma, juntamente com aquelas que são suportadas. A norma NIST SP800-131 requer que os usuários sejam configurados no cumprimento estrito da norma por um intervalo de tempo específico. Consulte o website O National Institute of Standards and Technology para obter detalhes adicionais.

O WebSphere Application Server pode ser configurado para executar a SP800-131 em um modo transition ou em um modo strict. Para obter instruções sobre como configurar o modo de transição, leia o tópico "Executando a transição do WebSphere Application Server para o SP800-131 Security Standard".

Para executar no modo strict, há várias mudanças necessárias na configuração do servidor:
  • A configuração do Secure Sockets Layer (SSL) deve usar o protocolo TLSv1.2.
  • A propriedade de sistema com.ibm.jsse2.sp800-131 deve ser configurada como strict para que o JSSE seja executado em um modo SP800-131 estrito.
  • Os certificados usados para a comunicação do SSL devem ter um comprimento mínimo de 2048 e os certificados da Elliptical Curve (EC) devem ter um comprimento mínimo de 244.
  • Os certificados devem ser assinados com o algoritmo de assinatura de SHA256, SHA384 ou SHA512.
  • Os conjuntos de cifras aprovadas da SP800-131 devem ser usados.
.
Importante: Os conjuntos de algoritmos de assinatura que usam SHA-256 devem se aplicar à cadeia completa de certificados. Ou seja, os certificados devem ser assinados com um algoritmo de assinatura de SHA256, SHA384 ou SHA512, e os conjuntos de algoritmos de assinatura suportados que utilizam SHA256, SHA384 ou SHA512 devem se aplicar à cadeia completa de certificados.

Procedimento

  1. Clique em Security > Certificado SSL e Gerenciamento de Chave > Gerenciar FIPS Para executar em um modo SP800-131 estrito, todos os certificados usados para SSL no servidor devem ser convertidos para certificados que cumprem com os requisitos da SP800-131.
  2. Para converter os certificados, em Itens Relacionados, clique em Converter Certificados.
  3. Selecione o botão de opções marcado Estrito e escolha qual signatureAlgorithm usar ao criar os novos certificados da caixa de menu suspenso.
  4. Selecione o tamanho do certificado da caixa de menu suspenso rotulada Novo Tamanho de Chave do Certificado.
    Nota: Se você escolher um algoritmo de assinatura da Curva Elíptica, ele requererá tamanhos específicos. Você não pode preencher um tamanho. Em vez disso, o tamanho correto é usado.
  5. Se nenhum certificado for exibido na caixa rotulada Certificados que não Podem Ser Convertidos, clique em Aplicar/Salvar.
  6. Se os certificados forem exibidos na caixa rotulada Certificados que não Podem Ser Convertidos, o servidor não poderá converter o certificado para você. Você deve substituir esses certificados por certificados que atendam os requisitos da SP800-131. Razões pelas quais o servidor não pode converter um certificado a ser incluído:
    • O certificado foi criado por uma Autoridade de Certificação (CA)
    • O certificado está em um keystore somente leitura

    Uma vez que os certificados são convertidos para atender a especificação da SP800-131, execute as etapas a seguir para ativar o modo SP800-131 estrito.

  7. Clique em Certificado SSL e Gerenciamento de Chave > Gerenciar FIPS.
  8. Ative o botão de opções rotulado Ativar SP800-131.
  9. Ative o botão de opções rotulado Estrito.
  10. Clique em Aplicar/Salvar.
  11. Reinicie os servidores e sincronize manualmente os nós do modo SP800-131 estrito a entrarem em vigor.

    Quando essas mudanças forem aplicadas e o servidor for reiniciado, todas as configurações do SSL no servidor serão modificadas para usar o protocolo TLSv1.2 e a propriedade de sistema com.ibm.jsse2.sp800-131 será configurada como strict. A configuração do SSL usa a cifra do SSL apropriada para a norma.

    Há várias tarefas wsadmin que podem ser usadas para ativar o SP800-131 estrito usando o script
    • Verificar o status de certificados para a norma de segurança usando a tarefa listCertStatusForSecurityStandard.
    • Converter certificados para a norma de segurança usando a tarefa convertCertForSecurityStandard.
    • Ativar a norma de segurança usando a tarefa enableFips.
    • Para consultar a configuração da norma de segurança, use a tarefa getFipsInfo.
  12. Uma vez que o servidor é configurado para o modo SP800-131 estrito, o arquivo ssl.client.props deve ser modificado, para que o cliente administrativo seja executado no modo SP800-131 estrito. Eles não podem executar uma conexão SSL no servidor sem a mudança.
    Edite o arquivo ssl.client.props fazendo o seguinte:
    1. Modifique o com.ibm.security.useFIPS para ser configurado como true.
    2. Inclua com.ibm.websphere.security.FIPSLevel=SP800-131 seguindo a propriedade useFips.
    3. Altere a propriedade com.ibm.ssl.protocol para TLSv1.2.

O que Fazer Depois

O modo estrito da norma SP800-131 requer que a conexão SSL use o protocolo TLSv1.2. Para um navegador acessar o console administrativo ou um aplicativo, o navegador deve suportar e primeiro ser configurado para usar o protocolo TLSv1.2.
Evitar Problemas Evitar Problemas: Quando as normas de segurança forem ativadas em uma versão de implementação de rede do produto, o nó e o Deployment Manager poderão ficar em um estado de protocolo incompatível. Como configurar a norma de segurança requer que o servidor seja reiniciado, é recomendado que todos os agentes e servidores do nó sejam interrompidos, deixando o gerenciador de implementação em execução. Uma vez que as mudanças na configuração são feitas através do console, reinicie o gerenciador de implementação.gotcha

Sincronize manualmente os nós com o syncNode e inicie os agentes e os servidores do nó. Para usar o syncNode, você pode precisar atualizar o arquivo ssl.client.props para se comunicar com o gerenciador de implementação.


Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_config_strictsp300
Nome do arquivo: tsec_config_strictsp300.html