Для соблюдения принятого в США правительственного стандарта защиты SP 800-131
можно включить поддержку протокола Transport Layer Security (TLS) 1.2 на сервере
WebSphere Application Server,
содержащем приложения Rational Engineering
Lifecycle Manager.
Процедура
- Настройте протокол TLS 1.2.
- Войдите в консоль
WebSphere Application Server
Integrated Solutions Console и выберите
.
- В разделе Связанные элементы выберите Конфигурации SSL.
- Перейдите по ссылке на параметры SSL по умолчанию, чтобы открыть их, и выберите
Параметры качества защиты (QoP) в разделе Дополнительные свойства.
- Для протокола выберите значение TLSv1.2. В поле Группы комплектов шифров выберите значение
Строго. Выберите Обновить выбранные шифры.
- Нажмите кнопку OK и сохраните изменения в
основной конфигурации.
- Настройте свойства федерального стандарта обработки информации
(FIPS).
- Перейдите по ссылке Управление ключами и
сертификатами SSL и выберите Управление
FIPS.
- В окне Управление FIPS выберите пункт
Включить SP800-131, а затем выберите значение
Строго.
- Нажмите кнопку OK.
Совет: Если возникла следующая ошибка из-за несоответствия
сертификата требованиям, то выполните следующие
действия:
- В разделе Связанные элементы выберите Преобразовать сертификаты.
- Убедитесь в том, что в параметре Алгоритм задано значение Строго.
- В поле Новый размер ключа сертификата выберите значение 2048 бит.
- Нажмите кнопку OK и сохраните изменения в основной конфигурации.
- Настройте свойства в файле
ssl.client.props.
Перейдите в каталог
каталог-профайла-WAS/properties и откройте файл
ssl.client.props в редакторе. После внесения
изменений сохраните и закройте файл.
- Найдите свойство com.ibm.security.useFIPS и измените его значение на true.
- Найдите свойство com.ibm.websphere.security.FIPSLevel и укажите в
нем значение SP800-131 (если это свойство не существует, то добавьте его).
- Найдите свойство com.ibm.ssl.protocol и измените его значение на TLSv1.2.
- Найдите свойство
com.ibm.ssl.enableSignerExchangePrompt и убедитесь,
что для него указано значение true, запрашивающее
сертификат подписанта.
- Добавьте пользовательские свойства
виртуальной машины Java™.
- Выберите и
щелкните на ссылке server1, чтобы открыть ее.
- В разделе Инфраструктура сервера выберите
.
- В разделе Дополнительные свойства выберите и укажите следующие три
пользовательских свойства.
- com.ibm.team.repository.transport.client.protocol со значением TLSv1.2
- com.ibm.jsse2.sp800-131 со значением strict
- com.ibm.rational.rpe.tls12only со значением true
- Перезапустите сервер приложений.
- Выполните команду каталог-WebSphere/AppServer/profiles/имя-профайла/bin>serverStatus -all и
примите сертификацию с помощью клавиши Y.
В ответ на запрос войдите в систему от имени администратора.
Дальнейшие действия
Если после замены протоколов SSL на TLS 1.2 не удается подключиться к
Integrated Solutions Console, значит браузер не настроен для поддержки этого протокола,
либо не поддерживает этот протокол. Информация о настройке поддержки TLS 1.2 в браузерах
приведена в разделе
Настройка браузеров для
поддержки Transport Layer Security (TLS) 1.2.