WebSphere Application Server安全标准配置

WebSphere® Application Server可以配置为与各种安全标准配合使用,通常用于满足政府要求的安全要求。

注: WebSphere Application Server 集成了加密模块,其中包括 Java™ 安全套接字扩展 (JSSE) 和 Java 加密扩展 (JCE)。 标准中的大多数要求都在 JSSE 和 JCE 中处理,这些处理必须经历认证过程才能符合政府标准。 WebSphere Application Server 必须配置为针对特定标准启用 JSSE 和 JCE 才能运行,现在支持 FIPS 140-2、 和 Suite B 安全标准。 SP800-131
  • [Linux][AIX][ 9.0.5.24 或更高版本][Windows]FIPS 140-3 是联邦信息处理标准(FIPS),规定了对加密模块的要求。 FIPS 140-3 要求 WebSphere Application Server9.0.5.24 或更高版本。 FIPS 140-3 取代了 FIPS 140-2。

    有关 140-3 标准的更多信息,请参阅美国国家标准与技术研究院网站。

    FIPS 140-3 只批准了 TLS 1.2 和 TLS 1.3 协议。 有关 TLS 1.2 和 TLS 1.3 协议支持的协议和密码的更多信息,请参阅 IBM SDK FIPS 140-3 文档。

    有关 FIPS 140-3 的更多信息,包括如何启用 FIPS 140-3 的步骤,请参阅 FIPS 140-3。

  • FIPS 140-2 是指定有关加密模块的要求的联邦信息处理标准 (FIPS)。 可以将许多用户配置为使用此级别,但这些用户可能需要移至较新的 SP800-131 或 Suite B 标准。
    注:
    • IBM SDK 8 的 FIPS 140-2 认证已过期,不再符合 NIST 安全标准。
    • 为保持合规性并遵守最新的安全要求,请启用 FIPS 140-3。
    • 有关 FIPS 140-2 认证的更多信息,请参阅 IBM JCE FIPS 140-2 密码模块安全政策

    有关 140-2 标准的更多信息,请参阅美国国家标准与技术研究院网站。

    要配置 FIPS 140-2,请参阅主题配置联邦信息处理标准 Java 安全套接字扩展文件

  • SP800-131 是美国国家标准技术学会 (NIST) 提出的要求,它要求更长的密钥长度和更强大的密码术。 该规范还提供一个转换配置,使用户可以移至 SP800-131 的严格实施。 该转换配置还使用户可以在混合使用 FIPS140-2 和 SP800-131 中设置的情况下运行。 可以通过两种方式运行 SP800-131:transitionstrict
    严格执行 SP800-131 要求 WebSphere Application Server 包括以下内容:
    • 为安全套接字层 (SSL) 上下文使用 TLSv1.2 协议。
    • 证书的长度必须至少为 2048。 椭圆曲线 (EC) 证书需要最小 244 位曲线。
    • 必须使用 SHA256、SHA384 或 SHA512 签名算法来为证书签名。 有效的 signatureAlgorithms 包括下列签名:
      • SHA256withRSA
      • SHA384withRSA
      • SHA512withRSA
      • SHA256withECDSA
      • SHA384withECDSA
      • SHA512withECDSA
    • SP800-131 核准的密码套件

    有关 SP800-131 标准的更多详情,请参阅美国国家标准与技术研究院网站。

    查看主题过渡WebSphere Application Server到SP800-131安全标准了解如何过渡WebSphere Application Server到SP800-131严格的标准。 查看主题配置WebSphere Application Server为了SP800-131标准严格模式有关如何配置的信息SP800-131 。

  • Suite B 是美国国家安全局 (NSA) 提出的要求,用于指定加密互操作性策略。 此标准类似于 SP800-131,但具有一些更严格的限制。 Suite B 可以通过两种方式运行:128 位或 192 位。 受限制的策略文件针对 128 位方式提供了加密,缺省情况下将应用此加密。 如果使用 192 位方式,那么必须向 JDK 应用不受限制的策略文件,以便可以使用 192 位方式所需的更强大的密码。

    下表列示了受限制的策略文件允许用于 IBMJCE 和 IBMJCECCA 算法的最大密钥大小。 需要进行更强大加密的用户必须使用不受限制的策略文件。

    表 1. 受限制的策略文件值
    算法 最大密钥大小(按位计)
    DES 64
    DESede 96
    RC2 128
    RC4 128
    RC5 128
    RSA 2048
    所有其他算法 128

    要应用不受限制的策略文件,请将 US_export_policy.jar 和 local_policy.jar files 从 WAS_HOME/java/J5.0/lib/security 目录复制到 WAS_HOME/java/J5.0/demo/jce/policy-files/unrestricted 目录。

    Suite B 要求WebSphere Application Server包括:
    • 为 SSL 上下文使用 TLSv1.2 协议
    • Suite B 核准的密码套件
    • 证书:
      • 必须使用 SHA256withECDSA 为 128 位方式证书签名
      • 必须使用 SHA384withECDSA 为 192 位方式证书签名
    • 密码:
      • SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
      • SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384.

    查看主题配置WebSphere Application Server符合 Suite B 安全标准有关如何配置 Suite B 的信息。

用于启动安全性标准的属性

IBM® Java 虚拟机(JVM)以基于系统属性的特定安全模式运行。 WebSphere Application Server 根据安全配置设置来设置这些系统属性。 可以通过管理控制台或脚本编制管理任务来设置安全性配置。 如果应用程序直接设置这些属性,则可能会影响WebSphere Application ServerSSL 通信。

表 2. 用于启用安全标准的 JVM 系统属性
安全标准 要启用的系统属性 有效值
FIPS 140-2 com.ibm.jsse2.usefipsprovider truefalse
SP800-131 com.ibm.jsse2.sp800-131 transitionstrict
套件 B com.ibm.jsse2.suiteb 128 或 192

WebSphere Application Server如果设置了这些属性,则配置将清除所有这些属性,然后将它们设置为指定安全配置的方式。 WebSphere Application Server启用基于安全配置中设置的自定义属性的安全标准。

WebSphere Application Server安全自定义属性以启用安全标准

表 3. WebSphere Application Server安全自定义属性以启用安全标准
安全标准 安全性定制属性 JVM 系统属性
FIPS 140-2
com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=FIPS140-2
 com.ibm.jsse2.usefipsprovider=true
SP800-131 - 转换
com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=过渡
 com.ibm.jsse2.sp800-131=transition
SP800-131 - 严格
com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=SP800-131
 com.ibm.jsse2.sp800-131=strict
Suite B 128
com.ibm.security.useFips=true
com.ibm.websphere.security.suiteb=128
 com.ibm.jsse2.suiteb=128
Suite B 192
com.ibm.security.useFips=true
com.ibm.websphere.security.suiteb=192
 com.ibm.jsse2.suiteb=192