TLS 1.2 をサポートするための WebSphere Application Server の構成

米国政府の SP 800-131 セキュリティー標準に準拠するために、Rational® Engineering Lifecycle Manager アプリケーションをホストする WebSphere® Application Server を構成して、トランスポート層セキュリティー (TLS) 1.2 プロトコルをサポートすることができます。

手順

  1. TLS 1.2 プロトコルを構成します。
    1. WebSphere Application Server Integrated Solutions Console にログオンし、「セキュリティー」 > 「SSL 証明書および鍵管理」をクリックします。
    2. 「関連項目」の下で、「SSL 構成」をクリックします。
    3. デフォルト SSL 設定リンクをクリックして開き、「追加プロパティー」の下の「保護品質 (QoP) 設定」をクリックします。
    4. プロトコルに「TLSv1.2」が選択されているようにします。暗号スイート・グループに「強」が選択されているようにします。「選択した暗号の更新」をクリックします。
    5. 「OK」をクリックして、マスター構成に直接保存します。
  2. 連邦情報処理標準 (FIPS) プロパティーを構成します。
    1. 「SSL 証明書および鍵管理」リンクをクリックし、「FIPS の管理」をクリックします。
    2. 「FIPS の管理」ウィンドウで「SP800-131 を有効にする」をクリックし、「Strict」を選択します。
    3. 「OK」をクリックします。
    ヒント: 次の非準拠証明書エラーが表示されたら、以下のステップを完了します。
    証明書が非準拠であることを示すエラー・メッセージの画面キャプチャー
    1. 「関連項目」の下で、「証明書の変換」をクリックします。
    2. 「アルゴリズム」設定が「Strict」になっていることを確認します。
    3. 「新規証明書の鍵サイズ」には、「2048 ビット」を選択します。
    4. 「OK」をクリックして、マスター構成に直接保存します。
  3. ssl.client.props ファイル内のプロパティーを構成します。

    WAS_Profile_Dir/properties に移動し、ssl.client.props ファイルを編集のために開きます。更新を完了した後、ファイルを保存して終了します。

    1. com.ibm.security.useFIPS を検索し、このプロパティーを true に変更します。
    2. com.ibm.websphere.security.FIPSLevel を検索し、この行が存在しない場合は追加してから、このプロパティーを SP800-131 に設定します。
    3. com.ibm.ssl.protocol を検索し、このプロパティーを TLSv1.2 に変更します。
    4. com.ibm.ssl.enableSignerExchangePrompt を検索し、署名者証明書プロンプトが有効になるよう、このプロパティーが true に設定されているようにします。
  4. Java™ 仮想マシンのカスタム・プロパティーを追加します。
    1. 「サーバー」 > 「サーバー・タイプ」 > 「WebSphere Application Server」をクリックし、server1 をクリックして開きます。
    2. 「サーバー・インフラストラクチャー」の下で、「Java およびプロセス管理」 > 「プロセス定義」とクリックします。
    3. 「追加プロパティー」の下で「Java 仮想マシン」 > 「カスタム・プロパティー」をクリックし、次の 3 つのカスタム・プロパティーを入力します。
      • com.ibm.team.repository.transport.client.protocol (値は TLSv1.2)
      • com.ibm.jsse2.sp800-131 (値は strict)
      • com.ibm.rational.rpe.tls12only (値は true)
  5. アプリケーション・サーバーを再始動します。
  6. WebSphere_directory/AppServer/profiles/profile_name/bin>serverStatus -all コマンドを実行し、Y で認証を受け入れます。 プロンプトが出されたら、管理者資格情報でログオンします。

次のタスク

SSL プロトコルを TLS 1.2 に変更した後にブラウザーから Integrated Solutions Console にアクセスできなくなった場合は、ブラウザーがこのプロトコルをサポートするよう構成されていない可能性があるか、このプロトコルをサポートしていません。TLS 1.2 をサポートするようにブラウザーを構成することについて詳しくは、トランスポート層セキュリティー (TLS) 1.2 をサポートするためのブラウザーの構成を参照してください。

フィードバック