Configuration de WebSphere Application Server pour la prise en charge de TLS 1.2

Pour assurer la conformité avec la norme de sécurité SP 800-131 du gouvernement américain, vous pouvez configurer l'instance WebSphere Application Server qui héberge les applications Rational Engineering Lifecycle Manager en vue de la prise en charge du protocole Transport Layer Security (TLS) 1.2.

Procédure

  1. Configurez le protocole TLS 1.2.
    1. Connectez-vous à WebSphere Application Server Integrated Solutions Console et cliquez sur Sécurité > Certificat SSL et gestion des clés.
    2. Sous Eléments associés, cliquez sur Configurations SSL.
    3. Cliquez sur le lien des paramètres SSL par défaut pour l'ouvrir et, sous Propriétés supplémentaires, cliquez sur Paramètres de la qualité de protection (QoP).
    4. Pour le protocole, vérifiez que TLSv1.2 est sélectionné. Pour les groupes de codes de chiffrement, vérifiez que Fort est sélectionné Cliquez sur Mettre à jour les codes de chiffrement sélectionnés.
    5. Cliquez sur OK, puis sauvegardez directement dans la configuration principale.
  2. Configurez les propriétés FIPS (Federal Information Processing Standard).
    1. Cliquez sur le lien Certificat SSL et gestion de clés, puis cliquez sur Gestion FIPS.
    2. Dans la fenêtre Gestion FIPS, cliquez sur Activer SP800-131, puis sélectionnez Strict.
    3. Cliquez sur OK.
    Conseil : Si l'erreur suivante indiquant qu'un certificat n'est pas conforme apparaît, procédez comme suit :
    Capture d'écran du message d'erreur indiquant que le certificat n'est pas conforme
    1. Sous Articles liés, cliquez sur Convertir les certificats.
    2. Vérifiez que le paramètre Algorithme a pour valeur Strict.
    3. Dans la zone Nouvelle taille de clé des certificats, sélectionnez 2048 bits.
    4. Cliquez sur OK, puis sauvegardez directement dans la configuration principale.
  3. Configurez les propriétés dans le fichier ssl.client.props.

    Accédez au répertoire rép_profil_WAS/properties et ouvrez le fichier ssl.client.props pour l'éditer. Une fois les mises à jour effectuées, sauvegardez le fichier et fermez-le.

    1. Recherchez com.ibm.security.useFIPS et remplacez la valeur de la propriété par true.
    2. Recherchez com.ibm.websphere.security.FIPSLevel et si la ligne n'existe pas, ajoutez-la puis associez la propriété à la valeur SP800-131.
    3. Recherchez com.ibm.ssl.protocol et remplacez la valeur de la propriété par TLSv1.2.
    4. Recherchez la propriété com.ibm.ssl.enableSignerExchangePrompt et vérifiez qu'elle est mis à true afin que la demande de certificat de signataire soit activée.
  4. Ajoutez les propriétés personnalisées de la machine virtuelle Java™.
    1. Cliquez sur Serveur > Types de serveur > Serveurs d'applications WebSphere, puis cliquez sur server1 pour l'ouvrir.
    2. Sous Infrastructure du serveur, cliquez sur Gestion des processus et Java > Définition des processus.
    3. Sous Propriétés supplémentaires, cliquez sur Machine virtuelle Java > Propriétés personnalisées et entrez les trois propriétés personnalisées suivantes :
      • com.ibm.team.repository.transport.client.protocol avec la valeur TLSv1.2
      • com.ibm.jsse2.sp800-131 avec la valeur strict
      • com.ibm.rational.rpe.tls12only avec la valeur true
  5. Redémarrez le serveur d'applications.
  6. Exécutez la commande répertoire_WebSphere/AppServer/profiles/nom_profil/bin>serverStatus -all et acceptez la certification en entrant Y. Lorsque vous y êtes invité, connectez-vous avec votre identifiant d'administrateur.

Que faire ensuite

Si vous ne parvenez pas à accéder à Integrated Solutions Console depuis le navigateur après avoir remplacé les protocoles SSL par TLS 1.2, cela peut signifier que le navigateur n'est pas configuré pour la prise en charge du protocole ou qu'il ne le prend pas en charge. Pour des informations sur la configuration des navigateurs pour la prise en charge de TLS 1.2, voir Configuration des navigateurs pour la prise en charge de TLS 1.2.

Commentaires