Grupo de Comandos FIPSCommands para o Objeto AdminTask

É possível usar os idiomas do script de Jython ou de Jacl para configurar o Federal Information Processing Standards (FIPS) com a ferramenta wsadmin.

O grupo de comandos FIPSCommands para o objeto AdminTask inclui os comandos a seguir:

enableFips

O comando enableFips ativa ou desativa um nível de segurança especificado.

Objeto de destino

Nenhuma.

Parâmetros Necessários

-enableFips
Se esse sinalizador for configurado como true, o FIPS será ativado no nível de segurança especificado por outros parâmetros. Se o sinalizador for configurado como false, o FIPS será desativado e outros parâmetros serão ignorados. O valor desse parâmetro é configurado como a propriedade customizada de segurança com.ibm.security.useFIPS. (Booleano necessário)

Parâmetros Opcionais

-fipsLevel
Especifica o nível da norma de segurança a ser usado. (String, opcional). Não há valor padrão. Os valores válidos incluem:
FIPS140-2
Se esse valor for configurado, o sistema será definido para cumprir com o modo Fips 140-2.
transição
Se esse valor for configurado, o sistema será definido para cumprir com o modo de transição SP800-131.
SP800-131
Se esse valor for configurado, o sistema será definido para cumprir com o modo estrito SP800-131.

O valor fornecido é configurado na propriedade customizada de segurança com.ibm.websphere.security.FIPSLevel.

O fipsLevel ou o suiteBLevel deve ser especificado.

-suiteBLevel
Especifica o nível do suiteBLevel. Não há valor padrão. O valor fornecido é configurado na propriedade customizada de segurança com.ibm.websphere.security.suiteb. (String, opcional)
Os valores válidos são:
  • 128 – se esse valor for configurado, o sistema será definido para cumprir com o Suite B 128.
  • 192 - se esse valor for configurado, o sistema será definido para cumprir com o Suite B 192.
-protocol
Defina o protocolo para a configuração do Secure Sockets Layer (SSL). Esse parâmetro é usado apenas quando o sinalizador -fipsLevel for configurado como transição. Para outro fipsLevels, o protocolo SSL já está definido pela especificação. Os valores válidos para a transição são: TLS, TLSv1.1 e TLSv1.2. Observe que o console administrativo mostra apenas o TLS e o TLSv1.2 como valores válidos. O TLS1.1 pode ser especificado em uma linha de comandos. (String, opcional)

Valores de retorno:

True (sucesso) ou false (falha). Se false, uma razão para a falha será registrada no System.Out.log.

Exemplos

  • Usando a sequência Jacl:
    $AdminTask enableFips
    {-enableFips true -fipsLevel transition }
    verdadeiro

getFipsInfo

O comando getFipsInfo retorna um attributeList com a configuração do FIPS. As configurações são fipsEnabled, fipsLevel e suiteBLevel.

Objeto de destino

Nenhum.

Parâmetros Necessários

Nenhuma.

Valor de retorno:

O comando getFipsInfo retorna um attributeList com a configuração do FIPS. Por exemplo: se o FIPS for desativado, o fipsLevel e o suiteBLevel serão sequências vazias. Exemplo:
Tabela 1. Modo de Segurança e Nível do FIPS
Modo de segurança Retorna valores do getFipsInfo
Fips não ativados

fipsEnabled=false
fipsLevel=(sequência vazia)
suiteBLevel=(sequência vazia)

FIPS140-2

ipsEnabled=true
fipsLevel=FIPS140-2
suiteBLevel=(sequência vazia)

SP800-131 - Transição

fipsEnabled=true
fipsLevel=transition
suiteBLevel=(sequência vazia)

SP800-131 - Estrito

fipsEnabled=true
fipsLevel=SP800-131
suiteBLevel=(sequência vazia)

Suite B 128

fipsEnabled=true
fipsLevel=(sequência vazia)
suiteBLevel=128

Suite B 192

fipsEnabled=true
fipsLevel=(sequência vazia)
suiteBLevel=192

Exemplos

  • Utilizando Jacl:
    $AdminTask getFipsInfo
    {fipsEnabled true} {fipsLevel SP800-131} {suiteBLevel {}}

listCertStatusForSecurityStandard

O comando listCertStatusForSecurityStandard retorna todos os certificados usados pela configuração e plug-ins do SSL e declaram se eles cumprem com o nível de segurança solicitado.

Objeto de destino

Nenhum.

Parâmetros Necessários

Nenhuma.

Parâmetros Opcionais

-suiteBLevel
Ativa ou desativa o FIPS. Não há valor padrão. Quando o sinalizador for configurado como true, a propriedade customizada de segurança com.ibm.security.useFips será configurada como true. Se o sinalizador for configurado como false, a propriedade customizada de segurança com.ibm.security.useFips será configurada como false e outros sinalizadores serão ignorados. (String, opcional)
-fipsLevel
Especifica o nível da norma de segurança a ser usado. (String, opcional). Não há valor padrão. Os valores válidos incluem:
FIPS140-2
Se esse valor for configurado, o sistema será definido para cumprir com o modo Fips 140-2.
transição
Se esse valor for configurado, o sistema será definido para cumprir com o modo de transição SP800-131.
SP800-131
Se esse valor for configurado, o sistema será definido para cumprir com o modo estrito SP800-131.

O valor fornecido é configurado na propriedade customizada de segurança com.ibm.websphere.security.FIPSLevel.

O fipsLevel ou o suiteBLevel deve ser especificado.

-suiteBLevel
Especifica o nível do suiteBLevel. Não há valor padrão. O valor fornecido é configurado na propriedade customizada de segurança com.ibm.websphere.security.suiteb. (String, opcional)
Os valores válidos são:
  • 128 – se esse valor for configurado, o sistema será definido para cumprir com o Suite B 128.
  • 192 - se esse valor for configurado, o sistema será definido para cumprir com o Suite B 192.

Valor de retorno:

Uma lista attributeList que possui três chaves: CAN_NOT_CONVERT, CAN_CONVERT e MEET_SECURITY_LEVEL. Para cada chave, uma lista de attributeList é retornada. Uma attributeList contém informações de certificado: keystore, managementScope, alias e reason. Exemplo:
{conversionStatus=CAN_NOT_CONVERT
   certificateInfo = { keystore = <keystore name>
                                     managementScope = <managementScope>
		                     alias = <certificate alias>
                                     reason = <reason why certificate can not be
converted>
		                  } ...
{conversionStatus= CAN_CONVERT
  certificateInfo = { keystore = <keystore name>
                                    managementScope = <managementScope>
		                    alias = <certificate alias>
                                    reason = empty when certificate can be converted
                                  } ...
{conversionStatus=MEET_SECURITY_LEVEL
 certificateInfo = { keystore = <keystore name>
                                    managementScope = <managementScope>
		                    alias = <certificate alias>
                                    reason = empty when certificate already meets
security level

Exemplos

  • Utilizando Jython:
    wsadmin>$AdminTask
    listCertStatusForSecurityStandard {-fipsLevel SP800-131 -suiteBLevel 128 }
    
    {CAN_CONVERT {{keystore NodeDefaultKeyStore} {managementScope (cell):testNode
    01Cell:(node):testNode01} {alias default} {reason {O SignatureAlgorithm atual
     é SHA256withRSA. O SignatureAlgorithm precisa ser um dos [SHA256withECDSA] para ser
     complacente com o SP 800-131 - Suite B 128. }}
    {keystore NodeDefaultRootStore} {managementScope (cell):testNode01Cell:(node)
    :testNode01} {raiz do alias} {reason {O SignatureAlgorithm atual é SHA256withRS
    A. O SignatureAlgorithm precisa ser um dos [SHA256withECDSA] para ser complacente
    com o
    SP 800-131 - Suite B 128. }} }} {CAN_NOT_CONVERT {}} {MEET_SECURITY_STANDARD {}}

convertCertForSecurityStandard

O comando convertCertForSecurityStandard converte todos os certificados usados pela configuração e SSL plug-ins do SSL.

Objeto de destino

Nenhum.

Parâmetros Necessários

Nenhuma.

Parâmetros Opcionais

-fipsLevel
Especifica o nível da norma de segurança a ser usado. (String, opcional). Não há valor padrão. Os valores válidos incluem:
FIPS140-2
Se esse valor for configurado, o sistema será definido para cumprir com o modo Fips 140-2.
transição
Se esse valor for configurado, o sistema será definido para cumprir com o modo de transição SP800-131.
SP800-131
Se esse valor for configurado, o sistema será definido para cumprir com o modo estrito SP800-131.

O valor fornecido é configurado na propriedade customizada de segurança com.ibm.websphere.security.FIPSLevel.

O fipsLevel ou o suiteBLevel deve ser especificado.

-suiteBLevel
Especifica o nível do suiteBLevel. Não há valor padrão. O valor fornecido é configurado na propriedade customizada de segurança com.ibm.websphere.security.suiteb. (String, opcional)
Os valores válidos são:
  • 128 – se esse valor for configurado, o sistema será definido para cumprir com o Suite B 128.
  • 192 - se esse valor for configurado, o sistema será definido para cumprir com o Suite B 192.
-signatureAlgorithem
Verifica se o signatureAlgorithm é compatível com o FipsLevel e o suiteB. Se compatível, use o signatureAlgorithm para converter os certificados. Se não, use um signatureAlgorithm compatível. (Cadeia, obrigatória)
-keySize
Verifica se o keySize é compatível ao FipsLevel e suiteB. Se compatível, use o keySize para converter os certificados. Se não, use o valor mínimo para o signatureAlgorithm.

Valor de retorno:

{conversionStatus=CAN_NOT_CONVERT
certificateInfo = {keystore = <keystore name>
                                    managementScope = <managementScope>
		                    alias = <certificate alias>
                                    reason = <reason why certificate can not be
converted>
		              } ...
{conversionStatus=MEET_SECURITY_STANDARD
certificateInfo = {keystore = <keystore name>
                                    managementScope = <managementScope>
		                    alias = <certificate alias>
                                    reason = empty when certificate meets security
standard.
                              } ...

Exemplos

  • Utilizando Jacl:
    wsadmin> $AdminTask
    convertCertForSecurityStandard {-fipsLevel FIPS140-2 -signatureAlgorithm 
    SHA256withRSA -keySize 2048 }
    
    {CAN_CONVERT {}} {CAN_NOT_CONVERT {}} {MEET_SECURITY_STANDARD {{keystore NodeDef
    aultRootStore} {managementScope (cell):testNode01Cell:(node):testNode01} {
    raiz do alias} {reason {}}
    {keystore NodeDefaultKeyStore} {managementScope (cell):testNode01Cell:(node):
    testNode01} {alias do alias} {reason {}} }}

Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rxml_fipscommands
Nome do arquivo: rxml_fipscommands.html