将 WebSphere Application Server 配置为支持 TLS 1.2

要符合美国政府 SP 800-131 安全性标准,您可以将托管 Rational® Engineering Lifecycle Manager 应用程序的 WebSphere® Application Server 配置为支持传输层安全性 (TLS) 1.2 协议。

过程

  1. 配置 TLS 1.2 协议。
    1. 登录 WebSphere Application Server 集成解決方案控制台,然后单击安全性 > SSL 证书和密钥管理
    2. 相关项下面,单击 SSL 配置
    3. 单击缺省 SSL 设置链接以将其打开,并在其他属性下,单击保护质量 (QoP) 设置
    4. 对于协议,确保已选择 TLSv1.2。对于密码套件组,确保已选择。单击更新所选密码
    5. 单击确定并直接保存到主配置。
  2. 配置联邦信息处理标准 (FIPS) 属性。
    1. 单击 SSL 证书和密钥管理链接,然后单击管理 FIPS
    2. 在“管理 FIPS”窗口中,单击启用 SP800-131,然后选择严格
    3. 单击确定
    提示: 如果您看到以下不遵从标准的证书错误,请完成下列步骤:
    显示证书是不遵从标准证书的错误消息的截屏
    1. 相关项下,单击换算证书
    2. 确保算法设置为严格
    3. 对于新证书密钥大小,选择 2048 位
    4. 单击确定并直接保存到主配置。
  3. 配置 ssl.client.props 文件中的属性。

    转至 WAS_Profile_Dir/properties 并打开 ssl.client.props 文件以进行编辑。完成更新之后,保存并退出文件。

    1. 搜索 com.ibm.security.useFIPS 并将该属性更改为 true
    2. 搜索 com.ibm.websphere.security.FIPSLevel(如果该行不存在,请添加该行),然后将该属性设置为 SP800-131
    3. 搜索 com.ibm.ssl.protocol 并将该属性更改为 TLSv1.2
    4. 搜索 com.ibm.ssl.enableSignerExchangePrompt,并确保将该属性设置为 true,以便启用签署者证书提示。
  4. 添加 Java™ 虚拟机定制属性。
    1. 单击服务器 > 服务器类型 > WebSphere 应用程序服务器,然后单击 server1 以将其打开。
    2. 服务器基础结构下,单击 Java 和流程管理 > 流程定义
    3. 其他属性下面,单击 Java 虚拟机 > 定制属性,并输入下列 3 个定制属性。
      • com.ibm.team.repository.transport.client.protocol,值为 TLSv1.2
      • com.ibm.jsse2.sp800-131,值为 strict
      • com.ibm.rational.rpe.tls12only,值为 true
  5. 重新启动应用程序服务器。
  6. 运行 WebSphere_directory/AppServer/profiles/profile_name/bin>serverStatus -all 命令,并输入 Y 以接受证书。 提示您时,请使用您的管理员凭证进行登录。

下一步做什么

如果您无法在将 SSL 协议更改为 TLS 1.2 之后从浏览器访问集成解决方案控制台,那么浏览器不能配置为支持协议,否则不支持协议。有关将浏览器配置为支持 TLS 1.2 的信息,请参阅将浏览器配置为支持传输层安全性 (TLS) 1.2

反馈