配置 WebSphere Application Server 來支援 TLS 1.2

如果要符合美國政府 SP 800-131 安全標準,您可以配置運作 Rational® Engineering Lifecycle Manager 應用程式的 WebSphere® Application Server,來支援「傳輸層安全 (TLS) 1.2」通訊協定。

程序

  1. 登入「WebSphere Application Server 整合解決方案主控台」。
  2. 按一下安全 > SSL 憑證和金鑰管理,在相關項目之下,按一下 SSL 配置
  3. 按一下預設 SSL 設定鏈結以開啟它,在其他內容之下,按一下保護品質 (QoP) 設定
  4. 在通訊協定,請確定選取 TLSv1.2,在密碼組合群組,請確定選取,然後按一下更新選取的密碼
  5. 按一下確定,直接儲存到主要配置。
  6. 按一下 SSL 憑證和金鑰管理鏈結,然後按一下管理 FIPS
  7. 在「管理 FIPS」視窗中,按一下啟用 SP800-131,然後選取嚴格
  8. 按一下確定。如果您看到 下列的憑證不符錯誤,請完成下列步驟:
    顯示憑證不符的錯誤訊息畫面擷取
    1. 相關項目之下,按一下轉換憑證
    2. 請確定演算法設定是嚴格
    3. 新的憑證金鑰大小,選取 2048 位元
    4. 按一下確定,直接儲存到主要配置。
  9. 跳至 WAS_Profile_Dir/properties 並開啟 ssl.client.props 檔案進行編輯。
  10. 搜尋 com.ibm.security.useFIPS,並將內容變更為 true
  11. 搜尋 com.ibm.websphere.security.FIPSLevel,如果不存在,請新增此行,然後設定內容為 SP800-131
  12. 搜尋 com.ibm.ssl.protocol,並將內容變更為 TLSv1.2
  13. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器,然後按一下 server1 以開啟它。
  14. 伺服器基礎架構之下,按一下 Java 和程序管理 > 程序定義
  15. 其他內容之下,按一下 Java 虛擬機器,再按自訂內容
  16. 新增下列三個自訂內容:
    • com.ibm.team.repository.transport.client.protocol,值為 TLSv1.2
    • com.ibm.jsse2.sp800-131,值為 strict
    • com.ibm.rational.rpe.tls12only,值為 true
  17. 重新啟動應用程式伺服器。

下一步

如果在變更 SSL 通訊協定為 TLS 1.2 之後,無法從瀏覽器存取「整合解決方案主控台」,瀏覽器可能未配置支援此通訊協定或不支援此通訊協定。如需配置瀏覽器支援 TLS 1.2 的相關資訊,請參閱配置瀏覽器支援「傳輸層安全 (TLS)1.2」

意見