Настройка WebSphere Application Server для поддержки TLS 1.2

Для соблюдения принятого в США правительственного стандарта защиты SP 800-131 можно включить поддержку протокола Transport Layer Security (TLS) 1.2 на сервере WebSphere Application Server, содержащем приложения Rational Engineering Lifecycle Manager.

Процедура

  1. Настройте протокол TLS 1.2.
    1. Войдите в консоль WebSphere Application Server Integrated Solutions Console и выберите Защита > Управление сертификатами и ключами SSL.
    2. В разделе Связанные элементы выберите Конфигурации SSL.
    3. Перейдите по ссылке на параметры SSL по умолчанию, чтобы открыть их, и выберите Параметры качества защиты (QoP) в разделе Дополнительные свойства.
    4. Для протокола выберите значение TLSv1.2. В поле Группы комплектов шифров выберите значение Строго. Выберите Обновить выбранные шифры.
    5. Нажмите кнопку OK и сохраните изменения в основной конфигурации.
  2. Настройте свойства федерального стандарта обработки информации (FIPS).
    1. Перейдите по ссылке Управление ключами и сертификатами SSL и выберите Управление FIPS.
    2. В окне Управление FIPS выберите пункт Включить SP800-131, а затем выберите значение Строго.
    3. Нажмите кнопку OK.
    Совет: Если возникла следующая ошибка из-за несоответствия сертификата требованиям, то выполните следующие действия:
    снимок экрана с сообщением об ошибке, возникшей из-за несоответствия сертификата требованиям
    1. В разделе Связанные элементы выберите Преобразовать сертификаты.
    2. Убедитесь в том, что в параметре Алгоритм задано значение Строго.
    3. В поле Новый размер ключа сертификата выберите значение 2048 бит.
    4. Нажмите кнопку OK и сохраните изменения в основной конфигурации.
  3. Настройте свойства в файле ssl.client.props.

    Перейдите в каталог каталог-профайла-WAS/properties и откройте файл ssl.client.props в редакторе. После внесения изменений сохраните и закройте файл.

    1. Найдите свойство com.ibm.security.useFIPS и измените его значение на true.
    2. Найдите свойство com.ibm.websphere.security.FIPSLevel и укажите в нем значение SP800-131 (если это свойство не существует, то добавьте его).
    3. Найдите свойство com.ibm.ssl.protocol и измените его значение на TLSv1.2.
    4. Найдите свойство com.ibm.ssl.enableSignerExchangePrompt и убедитесь, что для него указано значение true, запрашивающее сертификат подписанта.
  4. Добавьте пользовательские свойства виртуальной машины Java™.
    1. Выберите Сервер > Типы серверов > Серверы приложений WebSphere и щелкните на ссылке server1, чтобы открыть ее.
    2. В разделе Инфраструктура сервера выберите Управление процессом и Java > Определение процесса.
    3. В разделе Дополнительные свойства выберите Виртуальная машина Java > Пользовательские свойства и укажите следующие три пользовательских свойства.
      • com.ibm.team.repository.transport.client.protocol со значением TLSv1.2
      • com.ibm.jsse2.sp800-131 со значением strict
      • com.ibm.rational.rpe.tls12only со значением true
  5. Перезапустите сервер приложений.
  6. Выполните команду каталог-WebSphere/AppServer/profiles/имя-профайла/bin>serverStatus -all и примите сертификацию с помощью клавиши Y. В ответ на запрос войдите в систему от имени администратора.

Дальнейшие действия

Если после замены протоколов SSL на TLS 1.2 не удается подключиться к Integrated Solutions Console, значит браузер не настроен для поддержки этого протокола, либо не поддерживает этот протокол. Информация о настройке поддержки TLS 1.2 в браузерах приведена в разделе Настройка браузеров для поддержки Transport Layer Security (TLS) 1.2.

Комментарии