WebSphere Application Server 安全標準配置

WebSphere® Application Server 可以配置成使用各種安全標準,這些標準通常用來符合政府所需的安全需求。

附註: WebSphere Application Server 整合加密模組,其中包括 Java™ Secure Socket Extension (JSSE) 和 Java Cryptography Extension (JCE)。 這些標準中的大部分要求都是在 JSSE 和 JCE 中處理,必須進行憑證處理程序才能符合政府標準。 WebSphere Application Server 必須配置成在針對特定標準啟用 JSSE 和 JCE 的情況下執行,現在支援 FIPS 140-2、 SP800-131 和 Suite B 安全標準。
  • FIPS 140-2 是「美國聯邦資訊處理標準 (FIPS)」,指定加密模組的相關需求。 許多使用者可以配置成使用此層次,但是需要升級至更新的 SP800-131 或「套組 B」標準。

    如需 140-2 標準的相關資訊,請參閱 國家標準與技術機構 網站。

    若要配置 FIPS 140-2 ,請參閱 配置美國聯邦資訊處理標準 Java Secure Socket Extension 檔案主題。

  • SP800-131 是「國家標準與技術機構 (NIST)」所創始的需求,它需要更長的金鑰長度及更嚴格的加密法。 這項規格還提供轉移配置,讓使用者能夠轉移至嚴格強制執行 SP800-131。 此轉移配置還可讓使用者以 FIPS140-2 和 SP800-131 的混合設定來執行。 SP800-131 可以在兩種模式下執行: transitionstrict
    在 WebSphere Application Server 上嚴格強制執行 SP800-131 需求包括下列各項:
    • 在 Secure Sockets Layer (SSL) 環境定義上使用「傳輸層安全 (TLS) 1.2 版」通訊協定。
    • 憑證長度下限是 2048。 Elliptical Curve (EC) 憑證要求至少是 244 位元的曲線。
    • 憑證必須使用簽章演算法 SHA256、SHA384 或 SHA512 來簽署。 有效的 signatureAlgorithms 包括下列簽章:
      • SHA256withRSA
      • SHA384withRSA
      • SHA512withRSA
      • SHA256withECDSA
      • SHA384withECDSA
      • SHA512withECDSA
    • 經 SP800-131 核准的密碼組合

    如需 SP800-131 標準的詳細資料,請參閱 國家標準與技術機構 網站。

    如需如何將 WebSphere Application Server 轉移至 SP800-131 嚴格標準的相關資訊,請參閱主題 將 WebSphere Application Server 轉移至 SP800-131 安全標準 。 如需如何配置 SP800-131的相關資訊,請參閱 配置 WebSphere Application Server for SP800-131 標準嚴格模式 主題。

  • 套組 B 是「美國國家安全局 (NSA)」所創始的需求,用來指定加密交互作業能力策略。 這套標準類似於 SP800-131,但是限制較為嚴格些。 套組 B 可以在兩種模式中執行:128 位元或 192 位元。 受限原則檔提供 128 位元模式的加密,依預設,會套用受限原則檔。 如果使用 192 位元模式,則您必須將未受限原則檔套用到 JDK,以便能夠使用需要更嚴格密碼的 192 位元模式。

    下表列出受限原則檔對於 IBMJCE 及 IBMJCECCA 演算法所容許的金鑰大小上限。 如果使用者需要更嚴格的加密,必須使用未受限原則檔。

    表 1. 受限原則檔的值
    演算法 金鑰大小上限(以位元為單位)
    DES 64
    DESede 96
    RC2 128
    RC4 128
    RC5 128
    RSA 2048
    所有其他演算法 128

    如果要套用不受限制的原則檔,請將 US_export_policy.jar 和 local_policy.jar 檔從 WAS_HOME/java/J5.0/lib/security 目錄複製到 WAS_HOME/java/J5.0/demo/jce/policy-files/unrestricted 目錄。

    WebSphere Application Server 上的套組 B 需求包括:
    • 在 SSL 環境定義中使用 TLSv1.2 通訊協定
    • 經套組 B 核准的密碼組合
    • 憑證:
      • 128 位元模式憑證必須使用 SHA256withECDSA 簽署
      • 192 位元模式憑證必須使用 SHA384withECDSA 簽署
    • 密碼:
      • SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
      • SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384.

    如需如何配置 Suite B 的相關資訊,請參閱 針對 Suite B 安全標準配置 WebSphere Application Server 主題。

用來啟用安全標準的內容

IBM® Java 虛擬機器 (JVM) 在基於系統內容的給定安全模式下執行。 WebSphere Application Server 會根據安全配置設定來設定這些系統內容。 安全配置可以透過管理主控台或透過 Scripting 管理作業來設定。 如果應用程式直接設定這些內容,則可能會影響 WebSphere Application Server SSL 通訊。

表 2. 可啟用安全標準的 JVM 系統內容
安全標準 要啟用的系統內容 有效值
FIPS 140-2 com.ibm.jsse2.usefipsprovider truefalse
SP800-131 com.ibm.jsse2.sp800-131 transitionstrict
套組 B com.ibm.jsse2.suiteb 128 或 192

WebSphere Application Server 配置會清除所有這些內容 (如果已設定的話) ,然後將它們設為如何指定安全配置。 WebSphere Application Server 會根據安全配置中所設定的自訂內容來啟用安全標準。

WebSphere Application Server 安全自訂內容,以啟用安全標準

表 3. WebSphere Application Server 安全自訂內容,以啟用安全標準
安全標準 安全自訂內容 JVM 系統內容
FIPS 140-2
com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=FIPS140-2
 com.ibm.jsse2.usefipsprovider=true
SP800-131- 轉移
com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel = transition
 com.ibm.jsse2.sp800-131=transition
SP800-131 – 嚴格
com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=SP800-131
 com.ibm.jsse2.sp800-131=strict
套組 B 128
com.ibm.security.useFips=true
com.ibm.websphere.security.suiteb=128
 com.ibm.jsse2.suiteb=128
套組 B 192
com.ibm.security.useFips=true
com.ibm.websphere.security.suiteb=192
 com.ibm.jsse2.suiteb=192