将 WebSphere Application Server 配置为使用 Suite B 安全性标准

可以配置 WebSphere® Application Server 以使用新的 Suite B 安全性标准。

开始之前

请阅读“WebSphere Application Server 安全性标准配置”主题,以获取有关安全性标准的更多背景信息。

关于此任务

美国国家安全局 (NSA) 创建了名为 Suite B 的密码互操作性策略。它对美国国家标准技术学会 (NIST) SP800-131 标准提出了特定的要求。

Suite B 要求

WebSphere Application Server 必须符合以下 Suite B 要求:
  • SSL 配置必须使用 TLSv1.2 协议。
  • 必须将 com.ibm.jsse.suiteb 系统属性设置为 128 或 192。
  • 必须使用 SHA256withECDSA 签名算法来创建以 128 位方式运行的证书。必须使用 SHA384withECDSA 签名算法来创建以 192 位方式运行的证书。
    注: 要以 192 位方式运行,JDK 上的适当位置必须存在不受限制的策略文件。
  • 必须使用 Suite B 核准的密码套件。

要配置服务器以使用 Suite B 标准:

过程

  1. 单击安全性 > SSL 证书和密钥管理 > 管理 FIPS 要以 Suite B 方式运行,必须将服务器上所有用于 SSL 的证书都转换为符合 Suite B 要求的证书。
  2. 要转换证书,请在“相关项”下单击转换证书
  3. 在“算法”框中选择标注为 128 位或 192 位的单选按钮。
    注: 椭圆曲线签名算法要求特定大小,因此您必须提供大小。
  4. 单击应用/保存 如果标注为无法转换的证书的框中未显示任何证书,那么您可以启用该标准。
    如果标注为无法转换的证书的框中列示证书,那么服务器无法为您转换这些证书。必须将这些证书替换为符合 Suite B 要求的证书。服务器无法转换证书的原因可能包括:
    • 证书由认证中心 (CA) 创建。
    • 证书位于只读密钥库中。

    将证书转换为符合 Suite B 规范之后,请遵循其余步骤以启用 Suite B 标准。

  5. 单击 SSL 证书和密钥管理 > 管理 FIPS
  6. 选择 Suite B:接受 128 位密钥以使用 128 位方式,或选择 Suite B:接受 192 位密钥以使用 192 位方式。
  7. 单击应用/保存
  8. 重新启动服务器并手动同步节点以使 Suite B 标准生效。

    应用这些更改后,服务器将重新启动,服务器上的 SSL 配置将修改为使用 TLSv1.2 协议,并且 com.ibm.jsse.suiteb 系统属性将设置为期望的 Suite B 方式。SSL 配置使用与标准相应的 SSL 密码。

    还有一些 wsadmin 任务可用于通过脚本编制启用 Suite B 标准:
    • 通过使用 listCertStatusForSecurityStandard 任务,检查用于安全性标准的证书的状态。
    • 通过使用 convertCertForSecurityStandard 任务,转换用于安全性标准的证书。
    • 通过使用 enableFips 任务,启用安全性标准。
    • 要查看安全性标准设置,请使用 getFipsInfo 任务。
  9. 一旦将服务器配置为使用 SP800-131 严格方式,就必须修改 ssl.client.props 文件,以便使管理客户机在 SP800-131 严格方式下运行。 在不更改的情况下,管理客户机无法与服务器建立 SSL 连接。通过执行以下操作,编辑 ssl.client.props 文件:
    1. 修改 com.ibm.security.useFIPS 以设置为 true
    2. 添加 com.ibm.jsse.suiteb 属性,并将其设置为 128 或 192。
    3. 将 com.ibm.ssl.protocol 属性更改为 TLSv1.2。

下一步做什么

Suite B 标准要求 SSL 连接使用 TLSv1.2 协议。为使浏览器可以访问管理控制台或应用程序,该浏览器必须支持 TLSv1.2 协议,并且必须先将其配置为使用该协议。

注: 在 Network Deployment 上启用安全性标准时,节点和 Deployment Manager 可以处于不一致的协议状态。由于配置安全性标准需要重新启动服务器,所以建议停止所有 Node Agent 和服务器,同时使 Deployment Manager 保持运行。通过控制台进行配置更改后,重新启动 Deployment Manager。

使用 syncNode 手动同步节点,然后启动 Node Agent 和服务器。要使用 syncNode,可能需要更新 ssl.client.props 文件以与 Deployment Manager 通信。


指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_config_suiteb
文件名:tsec_config_suiteb.html