配置 WebSphere Application Server 來支援 TLS 1.2

如果要符合美國政府 SP 800-131 安全標準,您可以配置運作 Rational® Engineering Lifecycle Manager 應用程式的 WebSphere® Application Server,來支援「傳輸層安全 (TLS) 1.2」通訊協定。

程序

  1. 配置 TLS 1.2 通訊協定。
    1. 登入 WebSphere Application Server Integrated Solutions Console,然後按一下安全 > SSL 憑證和金鑰管理
    2. 相關項目之下,按一下 SSL 配置
    3. 按一下預設 SSL 設定鏈結以開啟它,在其他內容之下,按一下保護品質 (QoP) 設定
    4. 對於通訊協定,請確定選取了 TLSv1.2。對於密碼組合群組,請確定選取了。按一下更新選取的密碼
    5. 按一下確定,並直接儲存到主要配置。
  2. 配置美國聯邦資訊處理標準 (FIPS) 內容。
    1. 按一下 SSL 憑證和金鑰管理鏈結,然後按一下管理 FIPS
    2. 在「管理 FIPS」視窗中,按一下啟用 SP800-131,然後選取嚴格
    3. 按一下確定
    提示: 如果您看到 下列的憑證不符錯誤,請完成下列步驟:
    顯示憑證不符的錯誤訊息畫面擷取
    1. 相關項目之下,按一下轉換憑證
    2. 請確定演算法設定是嚴格
    3. 新的憑證金鑰大小,選取 2048 位元
    4. 按一下確定,直接儲存到主要配置。
  3. ssl.client.props 檔中配置內容。

    跳至 WAS_Profile_Dir/properties 並開啟 ssl.client.props 檔案進行編輯。完成更新之後,儲存並結束該檔案。

    1. 搜尋 com.ibm.security.useFIPS,並將內容變更為 true
    2. 搜尋 com.ibm.websphere.security.FIPSLevel,如果不存在,請新增此行,然後設定內容為 SP800-131
    3. 搜尋 com.ibm.ssl.protocol,並將內容變更為 TLSv1.2
    4. 搜尋 com.ibm.ssl.enableSignerExchangePrompt 並確定該內容設定為 true,以便啟用簽章者憑證提示。
  4. 新增 Java™ 虛擬機器自訂內容。
    1. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器,然後按一下 server1 以開啟它。
    2. 伺服器基礎架構之下,按一下 Java 和程序管理 > 程序定義
    3. 其他內容之下,按一下 Java 虛擬機器 > 自訂內容, 然後輸入下列三個自訂內容。
      • com.ibm.team.repository.transport.client.protocol,值為 TLSv1.2
      • com.ibm.jsse2.sp800-131,值為 strict
      • com.ibm.rational.rpe.tls12only,值為 true
  5. 重新啟動應用程式伺服器。
  6. 執行 WebSphere_directory/AppServer/profiles/profile_name/bin>serverStatus -all 指令,並輸入 Y 接受憑證。系統提示時,使用管理者認證登入。

下一步

如果在變更 SSL 通訊協定為 TLS 1.2 之後,無法從瀏覽器存取「整合解決方案主控台」,瀏覽器可能未配置支援此通訊協定或不支援此通訊協定。如需配置瀏覽器支援 TLS 1.2 的相關資訊,請參閱配置瀏覽器支援「傳輸層安全 (TLS)1.2」

意見