Configuración de WebSphere Application Server para que admita TLS 1.2

Para cumplir con la normativa de seguridad SP 800-131 del Gobierno de EE.UU. puede configurar WebSphere Application Server que aloja las aplicaciones de Rational Engineering Lifecycle Manager para habilitar el protocolo Transport Layer Security (TLS) 1.2.

Procedimiento

  1. Configure el protocolo TLS 1.2.
    1. Inicie sesión en WebSphere Application Server Integrated Solutions Console y pulse Seguridad > Certificado SSL y gestión de claves.
    2. En Elementos relacionados, pulse Configuraciones SSL.
    3. Pulse el enlace de configuración SSL por omisión para abrirlo y, en Propiedades adicionales, pulse Calidad de protección de valores (QoP).
    4. Para el protocolo, asegúrese de que TLSv1.2 esté seleccionado. Para los grupos de la suite de cifrado, asegúrese de que Strong está seleccionado. Pulse Actualizar cifrados seleccionados.
    5. Pulse Aceptar y guarde directamente los valores en la configuración maestra.
  2. Configure las propiedades de FIPS (Federal Information Processing Standard).
    1. Pulse el enlace Certificado SSL y gestión de claves y, a continuación, pulse Gestionar FIPS.
    2. En la ventana Gestionar FIPS, pulse Habilitar SP800-131 y, a continuación, seleccione Estricto.
    3. Pulse Aceptar.
    Consejo: Si ve el error siguiente de certificado no conforme, siga estos pasos:
    Captura de pantalla del mensaje de error que muestra que el certificado no es conforme
    1. En Elementos relacionados, pulse Convertir certificados.
    2. Asegúrese de que el valor de Algoritmo sea Estricto.
    3. Para el Tamaño de la nueva clave de certificado, seleccione 2048 bits.
    4. Pulse Aceptar y guarde los datos directamente en la configuración maestra.
  3. Configure las propiedades en el archivo ssl.client.props.

    Vaya a WAS_Profile_Dir/properties y abra el archivo ssl.client.props para su edición. Tras completar las actualizaciones, guarde el archivo y salga del mismo.

    1. Busque com.ibm.security.useFIPS y cambie la propiedad por true.
    2. Busque com.ibm.websphere.security.FIPSLevel y si la línea no existe, añada, y, a continuación, establezca la propiedad en SP800-131.
    3. Busque com.ibm.ssl.protocol y cambie la propiedad por TLSv1.2.
    4. Busque com.ibm.ssl.enableSignerExchangePrompt y asegúrese de que la propiedad esté establecida en true, de modo que la solicitud de certificado de firmante esté habilitada.
  4. Añada propiedades personalizadas de máquina virtual Java™.
    1. Pulse Servidor > Tipos de servidor > WebSphere Application Servers y, a continuación, pulse server1 para abrirlo.
    2. Debajo de Infraestructura del servidor, pulse Java y gestión de procesos > Definición de proceso.
    3. En Propiedades adicionales, pulse Java Virtual Machine > Propiedades personalizadas y especifique las tres propiedades personalizadas siguientes.
      • com.ibm.team.repository.transport.client.protocol con un valor de TLSv1.2
      • com.ibm.jsse2.sp800-131 con un valor de strict
      • com.ibm.rational.rpe.tls12only con un valor de true
  5. Reinicie el servidor de aplicaciones.
  6. Ejecute el mandato directorio_WebSphere/AppServer/profiles/nombre_perfil/bin>serverStatus -all y acepte la certificación con Y. Cuando se le solicite, inicie sesión con las credenciales de administrador.

Qué hacer a continuación

Si no puede acceder a Integrated Solutions Console desde el navegador después de cambiar los protocolos SSL para TLS 1.2, el navegador podría no estar configurado para dar soporte al protocolo o no soporta el protocolo. Para obtener información sobre cómo configurar los navegadores para que admitan TLS 1,2, consulte Configuración de navegadores para que admitan Transport Layer Security (TLS) 1,2.

Comentarios