配置联邦信息处理标准 Java 安全套接字扩展文件

使用本主题来配置联邦信息处理标准 Java™ 安全套接字扩展文件。

有关此任务

在 WebSphere® Application Server中,使用的 Java 安全套接字扩展 (JSSE) 提供程序是 IBMJSSE2 提供程序。 此提供程序将加密和签名功能委派给 Java 密码术扩展 (JCE) 提供程序。 因此, IBMJSSE2 不需要经过联邦信息处理标准 (FIPS) 核准,因为它不执行密码术。 但是,JCE 提供程序需要通过 FIPS 核准。

[Linux][AIX][ 9.0.5.24 或更高版本][Windows]FIPS 140-3 取代了 FIPS 140-2。 有关 FIPS 140-3 的更多信息,请参阅 IBM SDK 8 文档中的 FIPS 140-3FIPS 140-3 WebSphere Application Server 文档中的 FIPS 140-3。

[z/OS]WebSphere Application Server 提供了一个经 FIPS 批准的 IBMJCEFIPS 提供程序, IBMJSSE2。

[9.0.5.15 或更高版本][AIX Solaris HP-UX Linux Windows][IBM i]WebSphere Application ServerIBMJSSE2 可使用经 FIPS 批准的 IBMJCEPlusFIPS 提供商。

[AIX Solaris HP-UX Linux Windows][IBM i]在 9.0.5.15 之前的版本中、 WebSphere Application Server 提供了一个经 FIPS 批准的 IBMJCEFIPS 提供程序, IBMJSSE2 可以使用。

在服务器 SSL 证书和密钥管理窗格上启用 使用美国联邦信息处理标准 (FIPS) 算法 选项时,尽管您为 SSL (IBMJSSE 或 IBMJSSE2S) 指定了 contextProvider ,但运行时始终使用 IBMJSSE2。 FIPS 需要 TLS 1.2 作为 SSL 协议,在启用 FIPS 时,运行时始终使用 TLSv1.2 ,而不考虑 SSL 指令表中的 SSL/TLS 协议设置。 这简化了 WebSphere Application Server 版本 9.0 中的 FIPS 配置,因为管理员只需在服务器 SSL 证书和密钥管理窗格上启用 使用美国联邦信息处理标准 (FIPS) 算法 选项,即可启用所有使用 SSL 的传输。

过程

  1. 单击 安全性> SSL 证书和密钥管理> 管理 FIPS
    [ 9.0.5.24 或更高版本]

    单击安全 > 管理 FIPS

  2. [Linux][AIX][ 9.0.5.24 或更高版本][Windows]选择启用 FIPS 140-3 选项并单击应用
    [ 9.0.5.24 或更高版本]请注意:
    • IBM SDK 8 的 FIPS 140-2 认证已过期,不再符合 NIST 安全标准。
    • [Linux][AIX][Windows]为保持合规性并遵守最新的安全要求,请启用 FIPS 140-3。
    • 有关 FIPS 140-2 认证的更多信息,请参阅 IBM JCE FIPS 140-2 密码模块安全政策

    要使用 FIPS 140-2,请选择启用 FIPS 140-2 选项并单击应用

    [z/OS]此选项使 IBMJSSE2 和 IBMJCEFIPS 成为活动提供者。
    [9.0.5.15 或更高版本][AIX Solaris HP-UX Linux Windows][IBM i]该选项使 IBMJSSE2 和 IBMJCEPlusFIPS 成为活动提供商。
    [AIX Solaris HP-UX Linux Windows][IBM i]在 9.0.5.15 之前的版本中,该选项使 IBMJSSE2 和 IBMJCEFIPS 成为活动提供程序。

    有关启用 FIPS 的更多信息,请参阅管理 FIPS

  3. 容纳必须访问企业 Bean 的 Java 客户机。

    profile_root/properties/ssl.client.props 文件中,将 com.ibm.security.useFIPS 属性值从 false 更改为 true

  4. 确保 profile_root/properties/ssl.client.props 文件中的 com.ibm.ssl.protocol 属性设置为 TLSv1.2。
  5. 确保 java.security 文件包含提供程序。

    [z/OS]要更新提供程序列表,请编辑 java.security 文件,在提供程序列表中的 IBMJCE 提供程序之前添加 com.ibm.crypto.plus.provider.IBMJCEFIPS ,并对其他提供程序重新编号。 但是, WebSphere Application Server 以编程方式添加提供程序,修改 java.security 文件是可选的。

    [9.0.5.15 或更高版本][AIX Solaris HP-UX Linux Windows][IBM i]

    要更新提供程序列表,请编辑 java.security 文件,在提供程序列表中的 IBMJCEPlus 和 IBMJCE 提供程序之前添加 com.ibm.crypto.plus.provider.IBMJCEPlusFIPS ,并对其他提供程序重新编号。 但是, WebSphere Application Server 会以语法方式添加提供程序。 修改 java.security 文件是可选的。

    [AIX Solaris HP-UX Linux Windows][IBM i]在 9.0.5.15 之前的版本中,要更新提供程序列表,请编辑 java.security 文件,在提供程序列表中的 IBMJCE 提供程序之前添加 com.ibm.crypto.plus.provider.IBMJCEFIPS ,并对其他提供程序重新编号。 但是, WebSphere Application Server 以编程方式添加提供程序,修改 java.security 文件是可选的。 IBMJCEFIPS 提供程序必须位于java.security文件提供程序列表。

    [z/OS][AIX Solaris HP-UX Linux Windows] java.security 文件位于 目录中。 WASHOME/java/jre/lib/security

    [IBM i] java.security 文件位于 目录中。 profile_root/properties

    以下示例显示步骤完成后 IBM® SDK java.security 文件的内容。
    • [z/OS]使用字符串 crypto.fips.provider.IBMJCEFIPS.
      security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS 
security.provider.2=com.ibm.crypto.provider.IBMJCE  
security.provider.3=com.ibm.jsse.IBMJSSEProvider   
security.provider.4=com.ibm.jsse2.IBMJSSEProvider2   
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider 
security.provider.6=com.ibm.security.cert.IBMCertPath  
security.provider.7=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl
security.provider.8=com.ibm.security.cmskeystore.CMSProvider
security.provider.9=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
security.provider.10=com.ibm.security.sasl.IBMSASL 
security.provider.11=com.ibm.xml.crypto.IBMXMLCryptoProvider 
security.provider.12=com.ibm.xml.enc.IBMXMLEncProvider  
security.provider.13=org.apache.harmony.security.provider.PolicyProvider
    • [9.0.5.15 或更高版本][AIX Solaris HP-UX Linux Windows][IBM i]使用字符串 crypto.plus.provider.IBMJCEPlusFIPS.
      [AIX Solaris HP-UX Linux Windows]
      security.provider.1=com.ibm.crypto.plus.provider.IBMJCEPlusFIPS 
security.provider.2=com.ibm.crypto.provider.IBMJCE  
security.provider.3=com.ibm.jsse.IBMJSSEProvider   
security.provider.4=com.ibm.jsse2.IBMJSSEProvider2   
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider 
security.provider.6=com.ibm.security.cert.IBMCertPath  
security.provider.7=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl
security.provider.8=com.ibm.security.cmskeystore.CMSProvider
security.provider.9=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
security.provider.10=com.ibm.security.sasl.IBMSASL 
security.provider.11=com.ibm.xml.crypto.IBMXMLCryptoProvider 
security.provider.12=com.ibm.xml.enc.IBMXMLEncProvider  
security.provider.13=org.apache.harmony.security.provider.PolicyProvider
      [IBM i]
      security.provider.1=com.ibm.crypto.plus.provider.IBMJCEPlusFIPS
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.jsse.IBMJSSEProvider
security.provider.4=com.ibm.jsse2.IBMJSSEProvider2
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.i5os.jsse.JSSEProvider
security.provider.8=com.ibm.crypto.pkcs11.provider.IBMPKCS11
security.provider.9=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
security.provider.10=com.ibm.security.cmskeystore.CMSProvider
security.provider.11=com.ibm.security.sasl.IBMSASL
security.provider.12=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.13=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.14=org.apache.harmony.security.provider.PolicyProvider
    • [AIX Solaris HP-UX Linux Windows][IBM i]在 9.0.5.15 之前的版本中,使用字符串 crypto.fips.provider.IBMJCEFIPS.
      [AIX Solaris HP-UX Linux Windows]
      security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS 
security.provider.2=com.ibm.crypto.provider.IBMJCE  
security.provider.3=com.ibm.jsse.IBMJSSEProvider   
security.provider.4=com.ibm.jsse2.IBMJSSEProvider2   
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider 
security.provider.6=com.ibm.security.cert.IBMCertPath  
security.provider.7=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl
security.provider.8=com.ibm.security.cmskeystore.CMSProvider
security.provider.9=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
security.provider.10=com.ibm.security.sasl.IBMSASL 
security.provider.11=com.ibm.xml.crypto.IBMXMLCryptoProvider 
security.provider.12=com.ibm.xml.enc.IBMXMLEncProvider  
security.provider.13=org.apache.harmony.security.provider.PolicyProvider
      [IBM i]
      security.provider.1=com.ibm.crypto.plus.provider.IBMJCEPlusFIPS
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.jsse.IBMJSSEProvider
security.provider.4=com.ibm.jsse2.IBMJSSEProvider2
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.i5os.jsse.JSSEProvider
security.provider.8=com.ibm.crypto.pkcs11.provider.IBMPKCS11
security.provider.9=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
security.provider.10=com.ibm.security.cmskeystore.CMSProvider
security.provider.11=com.ibm.security.sasl.IBMSASL
security.provider.12=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.13=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.14=org.apache.harmony.security.provider.PolicyProvider

    [AIX Solaris HP-UX Linux Windows][IBM i]如果使用的是 Oracle JDK,完成此步骤后, java.security 文件看起来就像下面的示例。

    [9.0.5.15 或更高版本][AIX Solaris HP-UX Linux Windows][IBM i]添加一行 security.provider.2=com.ibm.crypto.plus.provider.IBMJCEPlusFIPS.
    
security.provider.1=com.ibm.jsse2.IBMJSSEProvider2
security.provider.2=com.ibm.crypto.plus.provider.IBMJCEPlusFIPS
security.provider.3=com.ibm.crypto.plus.provider.IBMJCEPlus
security.provider.4=com.ibm.crypto.provider.IBMJCE
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.security.sasl.IBMSASL
security.provider.8=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.9=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.10=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
security.provider.11=sun.security.provider.Sun
    [AIX Solaris HP-UX Linux Windows][IBM i]在 9.0.5.15 之前的版本中,添加一行 security.provider.2=com.ibm.crypto.plus.provider.IBMJCEFIPS
    
security.provider.1=com.ibm.jsse2.IBMJSSEProvider2
security.provider.2=com.ibm.crypto.plus.provider.IBMJCEFIPS
security.provider.3=com.ibm.crypto.provider.IBMJCEPlus
security.provider.4=com.ibm.security.jgss.IBMJGSSProvider
security.provider.5=com.ibm.security.cert.IBMCertPath
security.provider.6=com.ibm.security.sasl.IBMSASL
security.provider.7=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.8=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.9=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
security.provider.10=sun.security.provider.Sun
    [z/OS]

    编辑 java.security 文件以取消带有 IBMJCEFIPS 提供程序的行的注释,并对其余提供程序列表进行重新编号。 IBMJCEFIPS 提供者必须在 java.security 文件提供者列表中列出。 java.security 文件在 WASHOME/java/jre/lib/security 目录中。 要编辑该文件,请完成下列步骤:

    [z/OS]
    1. java.security 文件复制到具有写许可权的目录。
    2. 编辑 java.security 文件以使用 IBMJCE 提供程序注释掉该行,使用 IBMJCEFIPS 提供程序取消注释该行,然后保存该文件。

      在完成此步骤之前, IBM Software Development Kit (SDK) java.security 文件类似于以下示例。

      #security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.1=com.ibm.crypto.provider.IBMJCE
security.provider.2=com.ibm.jsse.IBMJSSEProvider
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
security.provider.4=com.ibm.security.jgss.IBMJGSSProvider
security.provider.5=com.ibm.security.cert.IBMCertPath
security.provider.6=com.ibm.crypto.pkcs11.provider.IBMPKCS11
security.provider.7=com.ibm.security.cmskeystore.CMSProvider
security.provider.8=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
    3. 为单元中的每个 Java 虚拟机 (JVM) 配置 security.overridePropertiesFilejava.security.properties 系统属性。
      添加下列属性-值对:
      表 1. 用于为 java.security 文件指定新位置的定制属性。

      此表描述用于为 java.security 文件指定新位置的定制属性。
      属性名
      security.overridePropertiesFile true
      java.security.properties 指定 java.security 文件的新位置。
      必须对 Deployment Manager、Node Agent 和其他应用程序服务器指定上一组系统属性。 对于 Deployment Manager 来说,请对控制方和服务方都指定这组系统属性。 对于 Node Agent 来说,对控制方指定这组系统属性。 对于所有应用程序服务器来说,对附属方、控制方和服务方指定这组系统属性。 例如,完成以下步骤以便对应用程序服务器上的控制方指定这些系统属性:
      1. 在管理控制台中,单击 服务器> 应用程序服务器> server_name
      2. 在 "服务器基础结构" 下,单击 Java 和进程管理> 进程定义> 控制
      3. 在 "其他属性" 下,单击 Java 虚拟机> 定制属性
      4. 以两组“名称/值”对形式输入属性。
      5. 单击保存

下一步做什么?

完成这些步骤后,FIPS 核准的 JSSE 或 JCE 提供程序将提供增强的加密功能。 但是,在使用 FIPS 核准的提供程序时:
  • 缺省情况下,浏览器可能未启用 TLS 1.2 。 检查浏览器设置以确保其设置为使用 TLS 1.2。
  • 在 SSL 证书和密钥管理窗格上选择 使用联邦信息处理标准 (FIPS) 选项时,轻量级第三方认证 (LTPA) 令牌格式与较早版本的 WebSphere Application Server不兼容。 但是,可以从先前版本的应用程序服务器导入 LTPA 密钥。
  • 注: 当前的 WebSphere Application Server 限制是未针对 FIPS sp800-131a 合规性评估密钥中的密钥长度。 如果密钥库中有密钥,请使用 {WebSphere_install_dir}\java\jre\bin 目录中的 iKeyman 或其他密钥库工具来检查密钥长度。
[AIX Solaris HP-UX Linux Windows]请注意在启用 FIPS 选项后尝试停止时,可能会出现以下错误 WebSphere Application Server 时,可能会出现以下错误
ADMU3007E: 异常 com.ibm.websphere.management.exception.ConnectorException
如果 java.security 文件中的以下条目先前已移除或注释掉,请取消对该条目的注释,然后重新启动服务器:
security.provider.2=com.ibm.crypto.provider.IBMJCE
注: 启用 FIPS 时,无法在 SSL 指令表中配置加密令牌设备。 IBMJSSE2 在将加密服务用于 FIPS 时必须使用 IBMJCEPlusFIPS 。
以下 FIPS 140-2 核准的加密提供程序是 FIPS 选项支持的唯一设备:
  • [z/OS]IBMJCEFIPS(证书 376)
  • [9.0.5.15 或更高版本][AIX Solaris HP-UX Linux Windows][IBM i]IBMJCEPlusFIPS (证书 376)
  • [AIX Solaris HP-UX Linux Windows][IBM i]在 9.0.5.15 之前的版本中,IBMJCEFIPS(证书 376)
  • IBM Cryptography for C (IBM Content Collector) (证书 384)
相关证书列于 NIST 网站: 密码模块验证计划 FIPS 140-1 和 FIPS 140-2 预验证列表.
要取消对 FIPS 提供程序的配置,请撤销您在先前步骤中所作的更改。 撤销更改后,验证是否对 sas.client.propssoap.client.propsjava.security 文件作了下列更改:
  • ssl.client.props 文件中,必须将 com.ibm.security.useFIPS 值更改为 false
  • java.security 文件中,必须将 FIPS 提供程序更改为非 FIPS 提供程序。
    如果使用 IBM SDK java.security 文件,则必须将第一个提供程序更改为非 FIPS 提供程序,如下例所示。[z/OS]
    
#security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS 
security.provider.1=com.ibm.crypto.provider.IBMJCE  
security.provider.2=com.ibm.jsse.IBMJSSEProvider   
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2   
security.provider.4=com.ibm.security.jgss.IBMJGSSProvider 
security.provider.5=com.ibm.security.cert.IBMCertPath  
security.provider.6=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl
security.provider.7=com.ibm.security.cmskeystore.CMSProvider
security.provider.8=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
security.provider.9=com.ibm.security.sasl.IBMSASL 
security.provider.10=com.ibm.xml.crypto.IBMXMLCryptoProvider 
security.provider.11=com.ibm.xml.enc.IBMXMLEncProvider  
security.provider.12=org.apache.harmony.security.provider.PolicyProvider
    [9.0.5.15 或更高版本][AIX Solaris HP-UX Linux Windows]
    
#security.provider.1=com.ibm.crypto.plus.provider.IBMJCEPlusFIPS 
security.provider.1=com.ibm.crypto.provider.IBMJCE  
security.provider.2=com.ibm.jsse.IBMJSSEProvider   
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2   
security.provider.4=com.ibm.security.jgss.IBMJGSSProvider 
security.provider.5=com.ibm.security.cert.IBMCertPath  
security.provider.6=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl
security.provider.7=com.ibm.security.cmskeystore.CMSProvider
security.provider.8=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
security.provider.9=com.ibm.security.sasl.IBMSASL 
security.provider.10=com.ibm.xml.crypto.IBMXMLCryptoProvider 
security.provider.11=com.ibm.xml.enc.IBMXMLEncProvider  
security.provider.12=org.apache.harmony.security.provider.PolicyProvider
    [9.0.5.15 或更高版本][IBM i]
    
#security.provider.1=com.ibm.crypto.plus.provider.IBMJCEPlusFIPS
security.provider.1=com.ibm.crypto.provider.IBMJCE
security.provider.2=com.ibm.jsse.IBMJSSEProvider
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
security.provider.4=com.ibm.security.jgss.IBMJGSSProvider
security.provider.5=com.ibm.security.cert.IBMCertPath
security.provider.6=com.ibm.i5os.jsse.JSSEProvider
security.provider.7=com.ibm.crypto.pkcs11.provider.IBMPKCS11
security.provider.8=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
security.provider.9=com.ibm.security.cmskeystore.CMSProvider
security.provider.10=com.ibm.security.sasl.IBMSASL
security.provider.11=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.12=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.13=org.apache.harmony.security.provider.PolicyProvider
    在 9.0.5.15之前的版本中,使用以下示例。
    [AIX Solaris HP-UX Linux Windows]
    
#security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS 
security.provider.1=com.ibm.crypto.provider.IBMJCE  
security.provider.2=com.ibm.jsse.IBMJSSEProvider   
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2   
security.provider.4=com.ibm.security.jgss.IBMJGSSProvider 
security.provider.5=com.ibm.security.cert.IBMCertPath  
security.provider.6=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl
security.provider.7=com.ibm.security.cmskeystore.CMSProvider
security.provider.8=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
security.provider.9=com.ibm.security.sasl.IBMSASL 
security.provider.10=com.ibm.xml.crypto.IBMXMLCryptoProvider 
security.provider.11=com.ibm.xml.enc.IBMXMLEncProvider  
security.provider.12=org.apache.harmony.security.provider.PolicyProvider
    [IBM i]
    
#security.provider.1=com.ibm.crypto.plus.provider.IBMJCEFIPS
security.provider.1=com.ibm.crypto.provider.IBMJCE
security.provider.2=com.ibm.jsse.IBMJSSEProvider
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
security.provider.4=com.ibm.security.jgss.IBMJGSSProvider
security.provider.5=com.ibm.security.cert.IBMCertPath
security.provider.6=com.ibm.i5os.jsse.JSSEProvider
security.provider.7=com.ibm.crypto.pkcs11.provider.IBMPKCS11
security.provider.8=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
security.provider.9=com.ibm.security.cmskeystore.CMSProvider
security.provider.10=com.ibm.security.sasl.IBMSASL
security.provider.11=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.12=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.13=org.apache.harmony.security.provider.PolicyProvider

    [AIX Solaris HP-UX Linux Windows][IBM i]如果使用 Oracle Java SE 开发工具包 java.security 文件,则必须将第二个提供程序更改为非 FIPS 提供程序,如下例所示。

    [9.0.5.15 或更高版本][AIX Solaris HP-UX Linux Windows][IBM i]
    
security.provider.1=com.ibm.jsse2.IBMJSSEProvider2
#security.provider.2=com.ibm.crypto.plus.provider.IBMJCEPlusFIPS
security.provider.2=com.ibm.crypto.plus.provider.IBMJCEPlus
security.provider.3=com.ibm.crypto.provider.IBMJCE
security.provider.4=com.ibm.security.jgss.IBMJGSSProvider
security.provider.5=com.ibm.security.cert.IBMCertPath
security.provider.6=com.ibm.security.sasl.IBMSASL
security.provider.7=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.8=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.9=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
security.provider.10=sun.security.provider.Sun

    [AIX Solaris HP-UX Linux Windows][IBM i]在 9.0.5.15 之前的版本中,将第二个提供程序更改为非 FIPS 提供程序,如下例所示。

    
security.provider.1=com.ibm.jsse2.IBMJSSEProvider2
#security.provider.2=com.ibm.crypto.plus.provider.IBMJCEFIPS
security.provider.2=com.ibm.crypto.provider.IBMJCEPlus
security.provider.3=com.ibm.security.jgss.IBMJGSSProvider
security.provider.4=com.ibm.security.cert.IBMCertPath
security.provider.5=com.ibm.security.sasl.IBMSASL
security.provider.6=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.7=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.8=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
security.provider.9=sun.security.provider.Sun
[z/OS]当您使用 FIPS 提供程序时, IBM 软件开发工具包 (SDK) 可能会发出错误信息,指出证书有问题。 虽然会导致此错误消息的原因众多,但是请复审安全性配置并考虑下列其中一个操作:
  • 如果当前密码套件级别是“强”,请将其降低为“中”。
    注: 您可以更改环境的不同级别 (例如节点或服务器级别) 的密码套件级别。 应限制对需要更改的环境级别的更改。

    要更改密码套件,请参阅保护质量设置文档中的密码套件组信息。 如果将密码套件级别更改为“中”,请保存更改并使更改同步。 如果启用了 "全局安全性" ,并且选择了 发生 SSL 配置更改时动态更新运行时 选项,那么无需重新启动服务器。 但是,如果未选择该选项,那么必须重新启动服务器才能使更改生效。 在 SSL 配置更改时动态更新运行时选项在 SSL 证书和密钥管理面板上的管理控制台中可用。 要访问该窗格,请单击安全 > SSL 证书和密钥管理

  • 为 z/OS® 操作系统安装安全级别 3 FMID JCPT3A1 。

    安全级别 3 FMID JCPT3A1 是 FIPS 140-2 核准的加密提供程序的 z/OS 操作系统实现。