Configurando o WebSphere Application Server para Suportar o TLS 1.2

Para cumprir a norma de segurança SP 800-131 do governo dos Estados Unidos, é possível configurar o WebSphere Application Server que hospeda os aplicativos do Rational Engineering Lifecycle Manager para suportar o protocolo Transport Layer Security (TLS) 1.2.

Procedimento

  1. Configure o protocolo TLS 1.2.
    1. Efetue logon no WebSphere Application Server Integrated Solutions Console e clique em Segurança > Gerenciamento de certificados e chaves SSL.
    2. Sob Itens Relacionados, clique em Configurações SSL.
    3. Clique no link de configurações do SSL padrão para abri-lo e, em Propriedades Adicionais, clique em Configurações de Qualidade de Proteção (QoP).
    4. Para o protocolo, assegure-se de que TLSv1.2 seja selecionado. Para os grupos do conjunto de Cifras, assegure-se de que Forte esteja selecionado. Clique em Atualizar cifras selecionadas.
    5. Clique em OK e salve diretamente na configuração principal.
  2. Configure as propriedades Federal Information Processing Standard (FIPS).
    1. Clique no link Gerenciamento de certificados e chaves SSL e, em seguida, clique em Gerenciar FIPS.
    2. Na janela Gerenciar FIPS, clique em Ativar SP800-131 e, em seguida, selecione Estrito.
    3. Clique em OK.
    Dica: Se você vir o erro de certificado fora de conformidade a seguir, conclua estas etapas:
    captura de tela da mensagem de erro mostrando que o certificado está fora de conformidade
    1. Em Itens Relacionados, clique em Converter Certificados.
    2. Assegure-se de que a configuração de Algoritmo seja Restrita.
    3. Para o Tamanho da Nova Chave do Certificado, selecione 2048 bits.
    4. Clique em OK e salve diretamente na configuração principal.
  3. Configure as propriedades no arquivo ssl.client.props.

    Acesse WAS_Profile_Dir/properties e abra o arquivo ssl.client.props para a edição. Após concluir as atualizações, salve saia do arquivo.

    1. Procure com.ibm.security.useFIPS e altere a propriedade para true.
    2. Procure com.ibm.websphere.security.FIPSLevel e, se a linha não existir, inclua-a e, em seguida, configure a propriedade como SP800-131.
    3. Procure com.ibm.ssl.protocol e altere a propriedade para TLSv1.2.
    4. Procure com.ibm.ssl.enableSignerExchangePrompt e assegure-se de que a propriedade esteja configurada como true, de forma que o prompt do certificado de assinante seja ativado.
  4. Inclua as propriedades customizadas da Java™ Virtual Machine.
    1. Clique em Servidor > Tipos de Servidores > WebSphere Application Servers e, em seguida, clique em server1 para abri-lo.
    2. Em Infraestrutura do Servidor, clique em Java e Gerenciamento de Processo > Definição de Processo.
    3. Sob Propriedades Adicionais, clique em Java Virtual Machine > Propriedades customizadas e insira as propriedades customizadas da árvore a seguir.
      • com.ibm.team.repository.transport.client.protocol com o valor TLSv1.2
      • com.ibm.jsse2.sp800-131 com o valor strict
      • com.ibm.rational.rpe.tls12only com o valor true
  5. Reinicie o servidor de aplicativos.
  6. Execute o comando WebSphere_directory/AppServer/profiles/profile_name/bin>serverStatus -all e aceite a certificação com Y. Quando solicitado, efetue logon com suas credenciais de administrador.

O que Fazer Depois

Se não for possível acessar o Integrated Solutions Console a partir do navegador após alterar os protocolos SSL para TLS 1.2, o navegador poderá não estar configurado para suportar o protocolo ou não suportará o protocolo. Para obter informações sobre como configurar os navegadores para suportar o TLS 1.2, consulte Configurando Navegadores para Suportar o Transport Layer Security (TLS) 1.2.

Feedback