Forzatura del traffico all'uso di TLS 1.2

È possibile configurare IBM® Connections per far sì che tutto il traffico che passa tra un server Connections e il browser Web di un utente sia inviato su TLS 1.2 in modo da evitare vulnerabilità nella sicurezza in TLS 1.1 e versioni precedenti di SSL.

Informazioni su questa attività

Forzando l'uso di TLS 1.2, tutto il traffico da browser e applicazione ne viene interessato, così come la comunicazione tra le JVM di Connections e IBM WebSphere Application Server.

Procedura

  1. In IBM HTTP Server, disabilitare i protocolli SSL e i vecchi protocolli TLS, lasciando abilitato soltanto TLS 1.2.

    Aprire il file httpd.conf nella directory root_ibm_http_server/conf. Aggiungere il seguente codice all'interno dell'elemento <VirtualHost *:443> ... </VirtualHost>:

    SSLProtocolDisable SSLv2 SSLv3 TLSv10 TLSv11
  2. Arrestare e avviare HTTP Server.
  3. Modificare il file delle proprietà del client SSL WebSphere per forzare l'uso di TLS 1.2 :
    1. Sul gestore distribuzione, aprire opt/IBM/WebSphere/AppServer/profiles/Dmgr01/properties/ssl.client.prop.

      Impostare com.ibm.ssl.protocol sul seguente valore:

      com.ibm.ssl.protocol=TLSv1.2
    2. Su ogni nodo WebSphere aprire opt/IBM/WebSphere/AppServer/profiles/Dmgr01/properties/ssl.client.prop.

      Impostare com.ibm.ssl.protocol sul seguente valore:

      com.ibm.ssl.protocol=TLSv1.2
  4. Su Deployment Manager, aggiornare LotusConnections-config.xml aggiungendo la seguente proprietà al file di configurazione di Connections nell'ultima sezione dell'elemento properties. 
    <genericProperty name="com.ibm.connections.SSLProtocol">TLSv1.2</genericProperty>
  5. In WebSphere Application Server, aggiornare le configurazioni SSL per consentire solo TLS 1.2 per il protocollo sicuro.
    1. Arrestare tutti i processi WebSphere Application Server tranne Deployment Manager.
    2. In WebSphere Integrated Solutions Console, accedere come amministratore e fare clic su Sicurezza > Gestione chiavi e certificati SSL > Configurazioni SSL.
    3. Per ognuna delle configurazioni riportate, selezionare la configurazione, ad esempio CellDefaultSSLSettings, e poi Impostazioni QoP.
    4. Impostare il selettore protocollo su TLSv1.2 in modo da consentire solo TLS 1.2. Ripetere questo passo per ogni configurazione.
    5. Salvare le modifiche e lasciare aperto Integrated Solutions Console per il passo successivo.
  6. Consentire alla JVM di sovrascrivere l'impostazione TLS predefinita in modo da essere certi che sia utilizzato solo TLS v1.2:

    Completare questa operazione su ogni WebSphere Application Server presente nella distribuzione.

    1. In Integrated Solutions Console, fare clic su Tipi di server > WebSphere Application Server.
    2. Espandere Java e gestione processi quindi selezionare Definizione processo > Java Virtual Machine.
    3. Nel campo Argomenti JVM generici aggiungere la seguente definizione: 
      -Dcom.ibm.jsse2.overrideDefaultTLS=true
    4. Fare clic su OK.
    5. Salvare le modifiche nella configurazione principale facendo clic su Salva nella casella "Messaggi".
    6. Riavviare WebSphere Application Server per applicare le modifiche.
  7. Su ogni nodo gestito, sincronizzare le modifiche del Deployment Manager eseguendo root_profilo/bin/syncNode.sh.

    Assicurarsi che la sincronizzazione sia completata correttamente su ogni nodo. Se la sincronizzazione non riesce, potrebbe essere necessario sostituire manualmente il file security.xml in root_profilo/config/cells/cella/ con la versione dal gestore distribuzione, quindi sincronizzare di nuovo i nodi.