Для соблюдения принятого в США правительственного стандарта защиты SP 800-131
можно включить поддержку протокола Transport Layer Security (TLS) 1.2 на сервере
WebSphere Application Server,
содержащем приложения Rational Engineering
Lifecycle Manager.
Процедура
- Войдите на консоль WebSphere Application Server
Integrated Solutions Console.
- Выберите и выберите пункт Конфигурации
SSL в разделе Связанные элементы.
- Перейдите по ссылке на параметры SSL по умолчанию, чтобы открыть их, и выберите
Параметры качества защиты (QoP) в разделе Дополнительные свойства.
- Выберите протокол TLSv1.2, значение
Строго в поле групп комплектов шифров, а затем нажмите
Обновить выбранные шифры.
- Нажмите кнопку OK и сохраните изменения в основной конфигурации.
- Перейдите по ссылке Управление ключами и сертификатами SSL и выберите Управление FIPS.
- В окне Управление FIPS выберите пункт Включить
SP800-131, а затем выберите значение Строго.
- Нажмите кнопку OK. Если возникла следующая ошибка из-за
несоответствия сертификата требованиям, то выполните следующие
действия:
- В разделе Связанные элементы выберите Преобразовать сертификаты.
- Убедитесь в том, что в параметре Алгоритм задано значение Строго.
- В поле Новый размер ключа сертификата выберите значение 2048 бит.
- Нажмите кнопку OK и сохраните изменения в основной конфигурации.
- Перейдите в каталог
каталог-профайла-WAS/properties и откройте файл
ssl.client.props в редакторе.
- Найдите свойство com.ibm.security.useFIPS и измените его значение на true.
- Найдите свойство com.ibm.websphere.security.FIPSLevel и укажите в
нем значение SP800-131 (если это свойство не существует, то добавьте его).
- Найдите свойство com.ibm.ssl.protocol и измените его значение на TLSv1.2.
- Выберите и
щелкните на ссылке server1, чтобы открыть ее.
- В разделе Инфраструктура сервера выберите
.
- В разделе Дополнительные свойства выберите
Виртуальная машина Java, а затем выберите Пользовательские свойства.
- Добавьте следующие три пользовательских свойства:
- com.ibm.team.repository.transport.client.protocol со значением TLSv1.2
- com.ibm.jsse2.sp800-131 со значением strict
- com.ibm.rational.rpe.tls12only со значением true
- Перезапустите сервер приложений.
Дальнейшие действия
Если после замены протоколов SSL на TLS 1.2 не удается подключиться к
Integrated Solutions Console, значит браузер не настроен для поддержки этого протокола,
либо не поддерживает этот протокол. Информация о настройке поддержки TLS 1.2 в браузерах
приведена в разделе
Настройка браузеров для
поддержки Transport Layer Security (TLS) 1.2.