TLS 1.2를 지원하도록 WebSphere Application Server 구성

미국 정부 SP 800-131 보안 표준을 준수하기 위해 TLS(Transport Layer Security) 1.2 프로토콜을 지원하도록 Rational® Engineering Lifecycle Manager 애플리케이션을 호스팅하는 WebSphere® Application Server를 구성할 수 있습니다.

프로시저

  1. TLS 1.2 프로토콜을 구성하십시오.
    1. WebSphere Application Server Integrated Solutions Console에 로그온한 후 보안 > SSL 인증서 및 키 관리를 클릭하십시오.
    2. 관련 항목에서 SSL 구성을 클릭하십시오.
    3. 기본 SSL 설정 링크를 클릭하여 열고 추가 특성 아래에서 QoP(Quality of protection) 설정을 클릭하십시오.
    4. 프로토콜에 대해 TLSv1.2가 선택되었는지 확인하십시오. 암호 스위트 그룹에 대해 강력이 선택되었는지 확인하십시오. 선택한 암호 업데이트를 클릭하십시오.
    5. 확인을 클릭하고 직접 마스터 구성에 저장하십시오.
  2. FIPS(Federal Information Processing Standard) 특성을 구성하십시오.
    1. SSL 인증서 및 키 관리 링크를 클릭한 후 FIPS 관리를 클릭하십시오.
    2. FIPS 관리 창에서 SP800-131 사용을 클릭한 후 엄격을 선택하십시오.
    3. 확인을 클릭하십시오.
    팁: 다음과 같은 비준수 인증서 오류가 표시되면 다음 단계를 완료하십시오.
    비준수 인증서를 표시하는 오류 메시지의 화면 캡처
    1. 관련 항목 아래에서 인증서 변환을 클릭하십시오.
    2. 알고리즘 설정이 엄격인지 확인하십시오.
    3. 새 인증서 키 크기에 대해 2048비트를 선택하십시오.
    4. 확인을 클릭하고 직접 마스터 구성에 저장하십시오.
  3. ssl.client.props 파일의 특성을 구성하십시오.

    WAS_Profile_Dir/properties로 이동하여 편집할 ssl.client.props 파일을 여십시오. 업데이트를 완료한 후 파일을 저장한 후 종료하십시오.

    1. com.ibm.security.useFIPS를 검색하고 특성을 true로 변경하십시오.
    2. com.ibm.websphere.security.FIPSLevel을 검색하고 해당 행이 없는 경우 추가한 후 특성을 SP800-131로 설정하십시오.
    3. com.ibm.ssl.protocol을 검색하고 특성을 TLSv1.2로 변경하십시오.
    4. com.ibm.ssl.enableSignerExchangePrompt를 검색하고 서명자 인증서 프롬프트가 사용될 수 있도록 이 특성이 true로 설정되었는지 확인하십시오.
  4. JVM(Java™ Virtual Machine) 사용자 정의 특성을 추가하십시오.
    1. 서버 > 서버 유형 > WebSphere Application Server를 클릭한 후 server1을 클릭하여 여십시오.
    2. 서버 인프라스트럭처에서 Java 및 프로세스 관리 > 프로세스 정의를 클릭하십시오.
    3. 추가 특성에서 JVM(Java Virtual Machine) > 사용자 정의 특성을 클릭한 후 다음 3개의 사용자 정의 특성을 입력하십시오.
      • 값이 TLSv1.2com.ibm.team.repository.transport.client.protocol
      • 값이 strictcom.ibm.jsse2.sp800-131
      • 값이 truecom.ibm.rational.rpe.tls12only
  5. 애플리케이션 서버를 다시 시작하십시오.
  6. WebSphere_directory/AppServer/profiles/profile_name/bin>serverStatus -all 명령을 실행하고 Y를 입력하여 인증서를 승인하십시오. 프롬프트가 표시되면 관리자 신임 정보로 로그온하십시오.

다음에 수행할 작업

SSL 프토토콜을 TLS 1.2로 변경한 후 브라우저에서 Integrated Solutions Console에 액세스할 수 없는 경우, 브라우저는 프로토콜을 지원하도록 구성될 수 없거나 프로토콜을 지원하지 않습니다. TLS 1.2를 지원하도록 브라우저를 구성하는 방법에 대한 정보는 TLS(Transport Layer Security) 1.2를 지원하도록 브라우저 구성을 참조하십시오.

피드백