WebSphere Application Server 安全性标准配置
对于通常用于满足政府规定的安全性要求的各种安全性标准,可以将 WebSphere® Application Server 配置为使用这些安全性标准。
- FIPS 140-2 是指定有关加密模块的要求的联邦信息处理标准 (FIPS)。可以将许多用户配置为使用此级别,但这些用户可能需要移至较新的 SP800-131 或 Suite B 标准。
请参阅美国国家标准技术学会 Web 站点,以获取有关 140-2 标准的更多信息。
要配置 FIPS 140-2,请参阅“配置联邦信息处理标准 Java 安全套接字扩展文件”主题。
- SP800-131 是美国国家标准技术学会 (NIST) 提出的要求,它要求更长的密钥长度和更强大的密码术。该规范还提供一个转换配置,使用户可以移至 SP800-131 的严格实施。该转换配置还使用户可以在混合使用 FIPS140-2 和 SP800-131 中设置的情况下运行。可以通过两种方式运行 SP800-131:transition 和 strict。WebSphere Application Server 上 SP800-131 要求的严格实施包括以下内容:
- 为安全套接字层 (SSL) 上下文使用 TLSv1.2 协议。
- 证书的长度必须至少为 2048。椭圆曲线 (EC) 证书要求大小至少为 244 位曲线。
- 必须使用 SHA256、SHA384 或 SHA512 签名算法来为证书签名。有效的 signatureAlgorithms 包括下列签名:
- SHA256withRSA
- SHA384withRSA
- SHA512withRSA
- SHA256withECDSA
- SHA384withECDSA
- SHA512withECDSA
- SP800-131 核准的密码套件
请参阅美国国家标准技术学会 Web 站点,以获取有关 SP800-131 标准的更多详细信息。
请参阅“将 WebSphere Application Server 转换为采用 SP800-131 安全性标准”主题,以获取有关如何将 WebSphere Application Server 转换为采用 SP800-131 严格标准的信息。请参阅“配置 WebSphere Application Server 以使用 SP800-131 标准严格方式”主题,以获取有关如何配置 SP800-131 的信息。
- Suite B 是美国国家安全局 (NSA) 提出的要求,用于指定加密互操作性策略。此标准类似于 SP800-131,但具有一些更严格的限制。Suite B 可以通过两种方式运行:128 位或 192 位。受限制的策略文件针对 128 位方式提供了加密,缺省情况下将应用此加密。如果使用 192 位方式,那么必须向 JDK 应用不受限制的策略文件,以便可以使用 192 位方式所需的更强大的密码。
下表列示了受限制的策略文件允许用于 IBMJCE 和 IBMJCECCA 算法的最大密钥大小。需要进行更强大加密的用户必须使用不受限制的策略文件。
表 1. 受限制的策略文件值 算法 最大密钥大小(按位计) DES 64 DESede 96 RC2 128 RC4 128 RC5 128 RSA 2048 所有其他算法 128 要应用不受限制的策略文件,请将 US_export_policy.jar 和 local_policy.jar files 从 WAS_HOME/java/J5.0/lib/security 目录复制到 WAS_HOME/java/J5.0/demo/jce/policy-files/unrestricted 目录。
WebSphere Application Server 上的 Suite B 要求包括:- 为 SSL 上下文使用 TLSv1.2 协议
- Suite B 核准的密码套件
- 证书:
- 必须使用 SHA256withECDSA 为 128 位方式证书签名
- 必须使用 SHA384withECDSA 为 192 位方式证书签名
- 密码:
- SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384。
请参阅“配置 WebSphere Application Server 以使用 Suite B 安全性标准”主题,以获取有关如何配置 Suite B 的信息。
用于启动安全性标准的属性
IBM® Java 虚拟机 (JVM) 根据系统属性在给定安全性方式下运行。WebSphere Application Server 根据安全性配置设置来设定这些系统属性。可以通过管理控制台或脚本编制管理任务来设置安全性配置。如果应用程序直接设置这些属性,那么它可以影响 WebSphere Application Server SSL 通信。
安全性标准 | 要启用的系统属性 | 有效值 |
---|---|---|
FIPS 140-2 | com.ibm.jsse2.usefipsprovider | true 或 false |
SP800-131 | com.ibm.jsse2.sp800-131 | transition 或 strict |
Suite B | com.ibm.jsse2.suiteB | 128 或 192 |
如果已设置这些属性,那么 WebSphere Application Server 配置将清除所有这些属性,然后以指定安全性配置的方式来设置这些属性。WebSphere Application Server 根据安全性配置中设置的定制属性来启用安全性标准。
用于启用安全性标准的 WebSphere Application Server 安全性定制属性
安全性标准 | 安全性定制属性 | JVM 系统属性 |
---|---|---|
FIPS 140-2 | com.ibm.security.useFips=true |
com.ibm.jsse2.usefipsprovider=true |
SP800-131 - 转换 | com.ibm.security.useFips=true |
com.ibm.jsse2.sp800-131=transition |
SP800-131 - 严格 | com.ibm.security.useFips=true |
com.ibm.jsse2.sp800-131=strict |
Suite B 128 | com.ibm.security.useFips=true |
com.ibm.jsse2.suiteB=128 |
Suite B 192 | com.ibm.security.useFips=true |
com.ibm.jsse2.suiteB=192 |