Um dem Sicherheitsstandard SP 800-131 der US-Regierung zu entsprechen, können Sie den WebSphere Application Server, der als Host für Rational Engineering Lifecycle Manager-Anwendungen dient, zur Unterstützung des TLS-Protokolls (Transport Layer Security) 1.2 konfigurieren.
Vorgehensweise
- Konfigurieren Sie das TLS 1.2-Protokoll.
- Melden Sie sich bei WebSphere Application Server Integrated
Solutions Console an und klicken Sie dann auf .
- Klicken Sie unter Zugehörige Elemente auf SSL-Konfigurationen.
- Klicken Sie auf den Link für SSL-Standardeinstellungen, um diesen Bereich zu öffnen, und klicken Sie
unter Weitere Eigenschaften auf Einstellungen für Datenschutzniveau.
- Stellen Sie sicher, dass für das Protokoll die Option TLSv1.2 ausgewählt ist.
Stellen Sie sicher, dass für die Cipher-Suite-Gruppen die Option Stark ausgewählt ist.
Klicken Sie auf Ausgewählte Ciphers aktualisieren.
- Klicken Sie auf OK und speichern Sie die Änderung direkt in der Masterkonfiguration.
- Konfigurieren Sie die FIPS-Eigenschaften (FIPS = Federal Information Processing Standard).
- Klicken Sie auf den Link Verwaltung von SSL-Zertifikaten und Schlüsseln
und dann auf FIPS verwalten.
- Klicken Sie im Fenster für die FIPS-Verwaltung auf SP800-131 aktivieren
und wählen Sie dann Strikt aus.
- Klicken Sie auf OK.
Tipp: Wenn der folgende Fehler für ein nicht konformes Zertifikat angezeigt wird, führen Sie diese Schritte aus:
- Klicken Sie unter Zugehörige Elemente auf Zertifikate
konvertieren.
- Stellen Sie sicher, dass die Einstellung Algorithmen auf Strikt gesetzt ist.
- Wählen Sie für Neue Zertifikatsschlüsselgröße den Wert 2048 Bits aus.
- Klicken Sie auf OK und speichern Sie die Änderung in der Masterkonfiguration.
- Konfigurieren Sie die Eigenschaften in der Datei ssl.client.props.
Wechseln Sie zu WAS-Profilverzeichnis/properties und öffnen Sie die Datei ssl.client.props zur Bearbeitung. Nachdem Sie die Aktualisierungen abgeschlossen haben, müssen Sie die Datei speichern und dann beenden.
- Suchen Sie nach com.ibm.security.useFIPS und ändern Sie die Eigenschaft in true.
- Suchen Sie nach com.ibm.websphere.security.FIPSLevel. Wenn diese Zeile nicht vorhanden ist, fügen Sie sie hinzu. Dann setzen Sie die Eigenschaft auf SP800-131.
- Suchen Sie nach com.ibm.ssl.protocol und ändern Sie die Eigenschaft in TLSv1.2.
- Suchen Sie nach com.ibm.ssl.enableSignerExchangePrompt und vergewissern Sie sich, dass die Eigenschaft auf true eingestellt ist, sodass die Eingabeaufforderung für das Unterzeichnerzertifikat aktiviert ist.
- Fügen Sie die angepassten Eigenschaften für Java™ Virtual
Machine hinzu.
- Klicken Sie auf
und klicken Sie dann auf server1, um ihn zu öffnen.
- Klicken Sie unter Serverinfrastruktur auf .
- Klicken Sie unter Weitere Eigenschaften auf und geben Sie die drei folgenden angepassten Eigenschaften ein.
- com.ibm.team.repository.transport.client.protocol mit dem Wert TLSv1.2
- com.ibm.jsse2.sp800-131 mit dem Wert strict
- com.ibm.rational.rpe.tls12only mit dem Wert true
- Starten Sie den Anwendungsserver erneut.
- Führen Sie den Befehl WebSphere_directory/AppServer/profiles/profile_name/bin>serverStatus
-all aus und übernehmen Sie die Zertifizierung mit J.
Wenn Sie dazu aufgefordert werden, dann melden Sie sich mit Ihren Administratorberechtigungsnachweisen an.
Nächste Schritte
Wenn Sie nicht über den Browser auf die Integrated Solutions Console zugreifen können, nachdem Sie die SSL-Protokolle in TLS 1.2 geändert haben, ist der Browser möglicherweise nicht zur Unterstützung des Protokolls konfiguriert oder bietet keine entsprechende Unterstützung. Informationen zum Konfigurieren von Browsern zur Unterstützung von TLS 1.2 finden Sie unter
Browser zur Unterstützung von TLS 1.2 konfigurieren.