Настройка WebSphere Application Server для поддержки TLS 1.2

Для соблюдения принятого в США правительственного стандарта защиты SP 800-131 можно включить поддержку протокола Transport Layer Security (TLS) 1.2 на сервере WebSphere Application Server, содержащем приложения Rational Engineering Lifecycle Manager.

Процедура

  1. Войдите на консоль WebSphere Application Server Integrated Solutions Console.
  2. Выберите Защита > Управление ключами и сертификатами SSL и выберите пункт Конфигурации SSL в разделе Связанные элементы.
  3. Перейдите по ссылке на параметры SSL по умолчанию, чтобы открыть их, и выберите Параметры качества защиты (QoP) в разделе Дополнительные свойства.
  4. Выберите протокол TLSv1.2, значение Строго в поле групп комплектов шифров, а затем нажмите Обновить выбранные шифры.
  5. Нажмите кнопку OK и сохраните изменения в основной конфигурации.
  6. Перейдите по ссылке Управление ключами и сертификатами SSL и выберите Управление FIPS.
  7. В окне Управление FIPS выберите пункт Включить SP800-131, а затем выберите значение Строго.
  8. Нажмите кнопку OK. Если возникла следующая ошибка из-за несоответствия сертификата требованиям, то выполните следующие действия:
    снимок экрана с сообщением об ошибке, возникшей из-за несоответствия сертификата требованиям
    1. В разделе Связанные элементы выберите Преобразовать сертификаты.
    2. Убедитесь в том, что в параметре Алгоритм задано значение Строго.
    3. В поле Новый размер ключа сертификата выберите значение 2048 бит.
    4. Нажмите кнопку OK и сохраните изменения в основной конфигурации.
  9. Перейдите в каталог каталог-профайла-WAS/properties и откройте файл ssl.client.props в редакторе.
  10. Найдите свойство com.ibm.security.useFIPS и измените его значение на true.
  11. Найдите свойство com.ibm.websphere.security.FIPSLevel и укажите в нем значение SP800-131 (если это свойство не существует, то добавьте его).
  12. Найдите свойство com.ibm.ssl.protocol и измените его значение на TLSv1.2.
  13. Выберите Сервер > Типы серверов > Серверы приложений WebSphere и щелкните на ссылке server1, чтобы открыть ее.
  14. В разделе Инфраструктура сервера выберите Управление процессом и Java > Определение процесса.
  15. В разделе Дополнительные свойства выберите Виртуальная машина Java, а затем выберите Пользовательские свойства.
  16. Добавьте следующие три пользовательских свойства:
    • com.ibm.team.repository.transport.client.protocol со значением TLSv1.2
    • com.ibm.jsse2.sp800-131 со значением strict
    • com.ibm.rational.rpe.tls12only со значением true
  17. Перезапустите сервер приложений.

Дальнейшие действия

Если после замены протоколов SSL на TLS 1.2 не удается подключиться к Integrated Solutions Console, значит браузер не настроен для поддержки этого протокола, либо не поддерживает этот протокол. Информация о настройке поддержки TLS 1.2 в браузерах приведена в разделе Настройка браузеров для поддержки Transport Layer Security (TLS) 1.2.

Комментарии