Federal Information Processing Standard Java Secure Socket Extension dosyalarının yapılandırılması
Federal Bilgi İşleme Standardı Java™ Secure Socket Extension dosyalarını yapılandırmak için bu konuyu kullanın.
Bu görev hakkında
![[9.0.5.15 ya da sonraki sürümü]](../images/ng90515.svg)
![[AIX Solaris HP-UX Linux Windows]](../images/ngdist.svg)
![[IBM i]](../images/ngibmi.svg)
WebSphere Application Server , IBMJSSE2 tarafından kullanılabilir olan FIPS onaylı bir IBMJCEPlusFIPS sağlayıcısı sağlar.
In versions before 9.0.5.15, WebSphere Application Server provides a FIPS-approved IBMJCEFIPS provider that IBMJSSE2 can use.
Sunucu SSL sertifikası ve anahtar yönetimi bölmesinde Birleşik Devletler Federal Bilgi İşleme Standardı (FIPS) algoritmalarını kullan seçeneğini etkinleştirirken, SSL için belirttiğiniz contextProvider 'a rağmen yürütme ortamı her zaman IBMJSSE2' yi kullanır (IBMJSSE ya da IBMJSSE2S). SSL protokolü olarak SSL/TLS iletişim kuralı ayarı ne olursa olsun, FIPS SSL protokolü olarak TLS 1.2 , FIPS etkinleştirildiğinde her zaman TLSv1.2 işlevini kullanır. This simplifies the FIPS configuration in WebSphere Application Server Sürüm 9.0 because an administrator needs to enable only the Amerika Birleşik Devletleri Federal Bilgi İşleme Standardı (FIPS) algoritmalarını kullanma option on the server SSL certificate and key management pane to enable all transports using SSL.
Yordam
- FIPS 140-2 'yi etkinleştir seçeneğini belirleyin ve Uygula' yı tıklatın.Bu seçenek IBMJSSE2 ve IBMJCEPlusFIPS ' yi etkin sağlayıcılar yapar.In versions before 9.0.5.15, this option makes IBMJSSE2 and IBMJCEFIPS the active providers.
- java.security dosyasının sağlayıcıyı içerdiğinden emin olun.
To update the provider list, edit the java.security file and add
com.ibm.crypto.plus.provider.IBMJCEPlusFIPSpreceding the IBMJCEPlus and IBMJCE provider in the provider list and renumber other providers. Ancak, WebSphere Application Server , sağlayıcıyı pro grammatik olarak ekler. java.security dosyasının değiştirilmesi isteğe bağlıdır.In versions before 9.0.5.15, to update the provider list, edit the java.security file and add com.ibm.crypto.plus.provider.IBMJCEFIPSpreceding the IBMJCE provider in the provider list and renumber other providers. Ancak, WebSphere Application Server , sağlayıcıyı programlı olarak ekler, java.security dosyasını değiştirme isteğe bağlıdır. IBMJCEFIPS sağlayıcısı şu şekilde olmalıdır:java.securityDosya sağlayıcı listesi. java.security dosyası, WASHOME/java/jre/lib/security dizininde bulunur. java.security dosyası, profile_root/properties dizininde bulunur.Aşağıdaki örnek, adım tamamlandıktan sonra IBM® SDK java.security dosyasının içeriğini göstermektedir.- Use the string crypto.plus.provider.IBMJCEPlusFIPS.
security.provider.1=com.ibm.crypto.plus.provider.IBMJCEPlusFIPS security.provider.2=com.ibm.crypto.provider.IBMJCE security.provider.3=com.ibm.jsse.IBMJSSEProvider security.provider.4=com.ibm.jsse2.IBMJSSEProvider2 security.provider.5=com.ibm.security.jgss.IBMJGSSProvider security.provider.6=com.ibm.security.cert.IBMCertPath security.provider.7=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl security.provider.8=com.ibm.security.cmskeystore.CMSProvider security.provider.9=com.ibm.security.jgss.mech.spnego.IBMSPNEGO security.provider.10=com.ibm.security.sasl.IBMSASL security.provider.11=com.ibm.xml.crypto.IBMXMLCryptoProvider security.provider.12=com.ibm.xml.enc.IBMXMLEncProvider security.provider.13=org.apache.harmony.security.provider.PolicyProvidersecurity.provider.1=com.ibm.crypto.plus.provider.IBMJCEPlusFIPS security.provider.2=com.ibm.crypto.provider.IBMJCE security.provider.3=com.ibm.jsse.IBMJSSEProvider security.provider.4=com.ibm.jsse2.IBMJSSEProvider2 security.provider.5=com.ibm.security.jgss.IBMJGSSProvider security.provider.6=com.ibm.security.cert.IBMCertPath security.provider.7=com.ibm.i5os.jsse.JSSEProvider security.provider.8=com.ibm.crypto.pkcs11.provider.IBMPKCS11 security.provider.9=com.ibm.security.jgss.mech.spnego.IBMSPNEGO security.provider.10=com.ibm.security.cmskeystore.CMSProvider security.provider.11=com.ibm.security.sasl.IBMSASL security.provider.12=com.ibm.xml.crypto.IBMXMLCryptoProvider security.provider.13=com.ibm.xml.enc.IBMXMLEncProvider security.provider.14=org.apache.harmony.security.provider.PolicyProvider - In versions before 9.0.5.15, use the string crypto.fips.provider.IBMJCEFIPS.
security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.2=com.ibm.crypto.provider.IBMJCE security.provider.3=com.ibm.jsse.IBMJSSEProvider security.provider.4=com.ibm.jsse2.IBMJSSEProvider2 security.provider.5=com.ibm.security.jgss.IBMJGSSProvider security.provider.6=com.ibm.security.cert.IBMCertPath security.provider.7=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl security.provider.8=com.ibm.security.cmskeystore.CMSProvider security.provider.9=com.ibm.security.jgss.mech.spnego.IBMSPNEGO security.provider.10=com.ibm.security.sasl.IBMSASL security.provider.11=com.ibm.xml.crypto.IBMXMLCryptoProvider security.provider.12=com.ibm.xml.enc.IBMXMLEncProvider security.provider.13=org.apache.harmony.security.provider.PolicyProvidersecurity.provider.1=com.ibm.crypto.plus.provider.IBMJCEPlusFIPS security.provider.2=com.ibm.crypto.provider.IBMJCE security.provider.3=com.ibm.jsse.IBMJSSEProvider security.provider.4=com.ibm.jsse2.IBMJSSEProvider2 security.provider.5=com.ibm.security.jgss.IBMJGSSProvider security.provider.6=com.ibm.security.cert.IBMCertPath security.provider.7=com.ibm.i5os.jsse.JSSEProvider security.provider.8=com.ibm.crypto.pkcs11.provider.IBMPKCS11 security.provider.9=com.ibm.security.jgss.mech.spnego.IBMSPNEGO security.provider.10=com.ibm.security.cmskeystore.CMSProvider security.provider.11=com.ibm.security.sasl.IBMSASL security.provider.12=com.ibm.xml.crypto.IBMXMLCryptoProvider security.provider.13=com.ibm.xml.enc.IBMXMLEncProvider security.provider.14=org.apache.harmony.security.provider.PolicyProvider
Oracle JDK kullanıyorsanız, java.security dosyası bu adımı tamamladıktan sonra aşağıdaki örneğe benzer.Satır security.provider.2=com.ibm.crypto.plus.provider.IBMJCEPlusFIPS' i ekleyin.security.provider.1=com.ibm.jsse2.IBMJSSEProvider2 security.provider.2=com.ibm.crypto.plus.provider.IBMJCEPlusFIPS security.provider.3=com.ibm.crypto.plus.provider.IBMJCEPlus security.provider.4=com.ibm.crypto.provider.IBMJCE security.provider.5=com.ibm.security.jgss.IBMJGSSProvider security.provider.6=com.ibm.security.cert.IBMCertPath security.provider.7=com.ibm.security.sasl.IBMSASL security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider security.provider.10=com.ibm.security.jgss.mech.spnego.IBMSPNEGO security.provider.11=sun.security.provider.SunIn versions before 9.0.5.15, add the line security.provider.2=com.ibm.crypto.plus.provider.IBMJCEFIPS.security.provider.1=com.ibm.jsse2.IBMJSSEProvider2 security.provider.2=com.ibm.crypto.plus.provider.IBMJCEFIPS security.provider.3=com.ibm.crypto.provider.IBMJCEPlus security.provider.4=com.ibm.security.jgss.IBMJGSSProvider security.provider.5=com.ibm.security.cert.IBMCertPath security.provider.6=com.ibm.security.sasl.IBMSASL security.provider.7=com.ibm.xml.crypto.IBMXMLCryptoProvider security.provider.8=com.ibm.xml.enc.IBMXMLEncProvider security.provider.9=com.ibm.security.jgss.mech.spnego.IBMSPNEGO security.provider.10=sun.security.provider.Sun
Sıradaki eylem
- Varsayılan olarak, Microsoft Internet Explorer ' ın TLS 1.2 etkinleştirilmemiş olabilir. TLS 1.2' yi etkinleştirmek için Internet Explorer tarayıcısını açın ve seçeneğini tıklatın. Advanced (Gelişmiş) sekmesinde TLS 1.2 seçeneğini kullan seçeneğini belirleyin.Not: Netscape Sürüm 4.7.x ve önceki sürümler TLS ' yi desteklemeyebilir.
- SSL sertifikası ve anahtar yönetimi bölmesinde Federal Bilgi İşleme Standardı 'nı (FIPS) kullan seçeneğini belirlediğinizde, Lightweight Third-Party Authentication (LTPA) simgesi biçimi, önceki bir WebSphere Application Serversürümüyle uyumlu değildir. Ancak, LTPA anahtarlarını uygulama sunucusunun önceki bir sürümünden da içe aktarabilirsiniz.
- Not: Geçerli WebSphere Application Server sınırlaması, gizli anahtarlardaki anahtar uzunluğunun FIPS sp800-131a uyumluluğu için değerlendirilmediğini ifade eder. Gizli anahtarlar anahtar depodaysa, {WebSphere_install_dir}\java\jre\bin dizininde iKeyman komutunu kullanarak ya da diğer anahtar deposu araçlarını kullanarak anahtar uzunluğunu denetleyin.
Dikkat: FIPS seçeneğini etkinleştirdikten sonra WebSphere Application Server olanağını durdurma girişiminde bulunduğunuzda aşağıdaki hata oluşabilir.ADMU3007E: Kural dışı durum com.ibm.websphere.management.exception.ConnectorExceptionjava.security dosyasında daha önce kaldırıldıysa ya da dışarı alındıysa, sunucuyu yeniden başlatmak için aşağıdaki girişi açıklama satırı kaldırın:
security.provider.2=com.ibm.crypto.provider.IBMJCENot: FIPS ' yi etkinleştirirken, SSL repertoures içinde şifreleme belirteci aygıtlarını yapılandıramazsınız. IBMJSSE2 must use IBMJCEPlusFIPS when using cryptographic services for FIPS.
Aşağıdaki FIPS 140-2 onaylı şifreleme sağlayıcıları, FIPS seçeneği tarafından desteklenen tek aygıtlardır:
- IBMJCEPlusFIPS (sertifika 376)
- In versions before 9.0.5.15, IBMJCEFIPS (certificate 376)
- IBM Cryptography for C (IBM Content Collector) (certificate 384)
FIPS sağlayıcısının yapılandırmasını kaldırmak için, önceki adımlarda yaptığınız değişiklikleri tersine çevirin. Değişiklikleri tersine çevirdikten sonra, sas.client.props, soap.client.propsve java.security dosyalarında aşağıdaki değişiklikleri yaptığınız doğrulayın:
- ssl.client.props dosyasında, com.ibm.security.useFIPS değerini falseolarak değiştirmeniz gerekir.
- java.security dosyasında FIPS sağlayıcısını FIPS olmayan bir sağlayıcıya çevirmeniz gerekir.IBM SDK java.security dosyasını kullanıyorsanız, aşağıdaki örnekte gösterildiği gibi, ilk sağlayıcıyı FIPS olmayan bir sağlayıcıya çevirmeniz gerekir.
#security.provider.1=com.ibm.crypto.plus.provider.IBMJCEPlusFIPS security.provider.1=com.ibm.crypto.provider.IBMJCE security.provider.2=com.ibm.jsse.IBMJSSEProvider security.provider.3=com.ibm.jsse2.IBMJSSEProvider2 security.provider.4=com.ibm.security.jgss.IBMJGSSProvider security.provider.5=com.ibm.security.cert.IBMCertPath security.provider.6=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl security.provider.7=com.ibm.security.cmskeystore.CMSProvider security.provider.8=com.ibm.security.jgss.mech.spnego.IBMSPNEGO security.provider.9=com.ibm.security.sasl.IBMSASL security.provider.10=com.ibm.xml.crypto.IBMXMLCryptoProvider security.provider.11=com.ibm.xml.enc.IBMXMLEncProvider security.provider.12=org.apache.harmony.security.provider.PolicyProvider
In versions before 9.0.5.15, use the following example.#security.provider.1=com.ibm.crypto.plus.provider.IBMJCEPlusFIPS security.provider.1=com.ibm.crypto.provider.IBMJCE security.provider.2=com.ibm.jsse.IBMJSSEProvider security.provider.3=com.ibm.jsse2.IBMJSSEProvider2 security.provider.4=com.ibm.security.jgss.IBMJGSSProvider security.provider.5=com.ibm.security.cert.IBMCertPath security.provider.6=com.ibm.i5os.jsse.JSSEProvider security.provider.7=com.ibm.crypto.pkcs11.provider.IBMPKCS11 security.provider.8=com.ibm.security.jgss.mech.spnego.IBMSPNEGO security.provider.9=com.ibm.security.cmskeystore.CMSProvider security.provider.10=com.ibm.security.sasl.IBMSASL security.provider.11=com.ibm.xml.crypto.IBMXMLCryptoProvider security.provider.12=com.ibm.xml.enc.IBMXMLEncProvider security.provider.13=org.apache.harmony.security.provider.PolicyProvider#security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.1=com.ibm.crypto.provider.IBMJCE security.provider.2=com.ibm.jsse.IBMJSSEProvider security.provider.3=com.ibm.jsse2.IBMJSSEProvider2 security.provider.4=com.ibm.security.jgss.IBMJGSSProvider security.provider.5=com.ibm.security.cert.IBMCertPath security.provider.6=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl security.provider.7=com.ibm.security.cmskeystore.CMSProvider security.provider.8=com.ibm.security.jgss.mech.spnego.IBMSPNEGO security.provider.9=com.ibm.security.sasl.IBMSASL security.provider.10=com.ibm.xml.crypto.IBMXMLCryptoProvider security.provider.11=com.ibm.xml.enc.IBMXMLEncProvider security.provider.12=org.apache.harmony.security.provider.PolicyProvider#security.provider.1=com.ibm.crypto.plus.provider.IBMJCEFIPS security.provider.1=com.ibm.crypto.provider.IBMJCE security.provider.2=com.ibm.jsse.IBMJSSEProvider security.provider.3=com.ibm.jsse2.IBMJSSEProvider2 security.provider.4=com.ibm.security.jgss.IBMJGSSProvider security.provider.5=com.ibm.security.cert.IBMCertPath security.provider.6=com.ibm.i5os.jsse.JSSEProvider security.provider.7=com.ibm.crypto.pkcs11.provider.IBMPKCS11 security.provider.8=com.ibm.security.jgss.mech.spnego.IBMSPNEGO security.provider.9=com.ibm.security.cmskeystore.CMSProvider security.provider.10=com.ibm.security.sasl.IBMSASL security.provider.11=com.ibm.xml.crypto.IBMXMLCryptoProvider security.provider.12=com.ibm.xml.enc.IBMXMLEncProvider security.provider.13=org.apache.harmony.security.provider.PolicyProvider Oracle Java SE Development Kit java.security dosyasını kullanıyorsanız, aşağıdaki örnekte gösterildiği gibi ikinci sağlayıcıyı FIPS olmayan bir sağlayıcıya çevirmeniz gerekir.security.provider.1=com.ibm.jsse2.IBMJSSEProvider2 #security.provider.2=com.ibm.crypto.plus.provider.IBMJCEPlusFIPS security.provider.2=com.ibm.crypto.plus.provider.IBMJCEPlus security.provider.3=com.ibm.crypto.provider.IBMJCE security.provider.4=com.ibm.security.jgss.IBMJGSSProvider security.provider.5=com.ibm.security.cert.IBMCertPath security.provider.6=com.ibm.security.sasl.IBMSASL security.provider.7=com.ibm.xml.crypto.IBMXMLCryptoProvider security.provider.8=com.ibm.xml.enc.IBMXMLEncProvider security.provider.9=com.ibm.security.jgss.mech.spnego.IBMSPNEGO security.provider.10=sun.security.provider.SunIn versions before 9.0.5.15, change the second provider to a non-FIPS provider as shown in the following example.security.provider.1=com.ibm.jsse2.IBMJSSEProvider2 #security.provider.2=com.ibm.crypto.plus.provider.IBMJCEFIPS security.provider.2=com.ibm.crypto.provider.IBMJCEPlus security.provider.3=com.ibm.security.jgss.IBMJGSSProvider security.provider.4=com.ibm.security.cert.IBMCertPath security.provider.5=com.ibm.security.sasl.IBMSASL security.provider.6=com.ibm.xml.crypto.IBMXMLCryptoProvider security.provider.7=com.ibm.xml.enc.IBMXMLEncProvider security.provider.8=com.ibm.security.jgss.mech.spnego.IBMSPNEGO security.provider.9=sun.security.provider.Sun