可以配置 WebSphere® Application Server 以使用 SP800-131 标准严格方式。
开始之前
请阅读“WebSphere Application Server 安全性标准配置”主题,以获取有关安全性标准的更多背景信息。
关于此任务
美国国家标准技术学会 (NIST) 特刊 (SP) 800-131 标准加强了算法并增加了密钥长度以提高安全性。该标准还提供了用于移至新标准的转换期。转换期使用户可以在混合使用该标准下受支持和不受支持的设置的环境中运行。NIST SP800-131 标准要求配置用户以在特定的时间范围内进行标准的严格实施。请参阅美国国家标准技术学会 Web 站点,以获取更多详细信息。
可以将 WebSphere Application Server 配置为通过 transition 方式或 strict 方式运行 SP800-131。有关如何配置转换方式的指示信息,请参阅“将 WebSphere Application Server 转换为使用 SP800-131 安全性标准”主题。
要以严格方式运行,需要对服务器配置进行几处更改:
- 安全套接字层 (SSL) 配置必须使用 TLSv1.2 协议。
- 必须将 com.ibm.jsse2.sp800-131 系统属性设置为 strict,这样 JSSE 才能以严格 SP800-131 方式运行。
- 用于 SSL 通信的证书的长度必须至少为 2048,对于椭圆曲线 (EC) 证书,证书长度必须至少为 244。
- 必须使用 SHA256、SHA384 或 SHA512 签名算法来为证书签名。
- 必须使用 SP800-131 核准的密码套件。
.
要点: 使用 SHA-256 的受支持签名算法套件应该应用于整个证书链。即,证书必须使用 SHA256、SHA384 或 SHA512 签名算法进行签名,并且使用 SHA256、SHA384 或 SHA512 的受支持签名算法套件应该适用于整个证书链。
过程
- 单击安全性 > SSL 证书和密钥管理 > 管理 FIPS。 要以严格 SP800-131 方式运行,必须将服务器上所有用于 SSL 的证书都转换为符合 SP800-131 要求的证书。
- 要转换证书,请在“相关项”下单击转换证书。
- 选择标记为严格的单选按钮,并从下拉框中选择创建新证书时要使用的 signatureAlgorithm。
- 从标注为新的证书密钥大小的下拉框中选择证书的大小。
注: 如果选择椭圆曲线签名算法,那么证书需要特定大小;您将无法填写大小。将改为使用正确的大小。
- 如果标注为无法转换的证书的框中未显示任何证书,请单击应用/保存。
- 如果标注为无法转换的证书的框中显示证书,那么服务器无法为您转换这些证书。必须将这些证书替换为符合 SP800-131 要求的证书。 服务器无法为您转换证书的原因包括:
- 证书由认证中心 (CA) 创建
- 证书位于只读密钥库中
转换证书以符合 SP800-131 规范后,请执行以下步骤以启用 SP800-131 严格方式。
- 单击 SSL 证书和密钥管理 > 管理 FIPS。
- 启用标注为启用 SP800-131 的单选按钮。
- 启用标注为严格的单选按钮。
- 单击应用/保存。
- 重新启动服务器并手动同步节点以使 SP800-131 严格方式生效。
应用这些更改后,服务器将重新启动,服务器上的所有 SSL 配置将修改为使用 TLSv1.2 协议,并且 com.ibm.jsse2.sp800-131 系统属性将设置为 strict。SSL 配置使用与标准相应的 SSL 密码。
有一些可用于借助脚本编制启用严格 SP800-131 的 wsadmin 任务。
- 通过使用 listCertStatusForSecurityStandard 任务,检查用于安全性标准的证书的状态。
- 通过使用 convertCertForSecurityStandard 任务,转换用于安全性标准的证书。
- 通过使用 enableFips 任务,启用安全性标准。
- 要查看安全性标准设置,请使用 getFipsInfo 任务。
- 一旦将服务器配置为使用 SP800-131 严格方式,就必须修改 ssl.client.props 文件,以便使管理客户机在 SP800-131 严格方式下运行。 在不更改的情况下,管理客户机无法与服务器建立 SSL 连接。
通过执行以下操作,编辑
ssl.client.props 文件:
- 修改 com.ibm.security.useFIPS 以设置为 true。
- 在 useFips 属性后面添加 com.ibm.websphere.security.FIPSLevel=SP800-131。
- 将 com.ibm.ssl.protocol 属性更改为 TLSv1.2。
下一步做什么
SP800-131 标准严格方式要求 SSL 连接使用 TLSv1.2 协议。为使浏览器可以访问管理控制台或应用程序,该浏览器必须支持 TLSv1.2 协议,并且必须先将其配置为使用该协议。
避免故障: 在该产品的 Network Deployment 版本上启用安全性标准时,节点和 Deployment Manager 可以处于不一致的协议状态。由于配置安全性标准需要重新启动服务器,所以建议停止所有 Node Agent 和服务器,同时使 Deployment Manager 保持运行。通过控制台进行配置更改后,重新启动 Deployment Manager。
gotcha
使用 syncNode 手动同步节点,然后启动 Node Agent 和服务器。要使用 syncNode,可能需要更新 ssl.client.props 文件以与 Deployment Manager 通信。