[Linux][AIX][ 9.0.5.24 或更高版本][Windows]

FIPS 140-3

联邦信息处理标准 (FIPS) 是美国国家标准技术学会 (NIST) 针对联邦政府计算机系统发布的标准和准则。 本标准规定了在保护计算机和电信系统敏感信息的安全系统中使用的加密模块的安全要求。

注:

FIPS 的最新版本是 140-3,它取代了 140-2 版本。

FIPS 140-3 仅支持 Windows、 Linux® 和 AIX® 平台。

IBM SDK 8 FIPS 140-2 模块认证已过期。 不建议新采购 FIPS 140-2 模块。 有关详细信息,请参阅 IBM SDK, Java Technology Edition 中的 IBMJCEFIPS 提供程序。

有关 IBM SDK 8 FIPS 140-3 支持的更多信息,请参阅 IBM SDK, Java 技术版文档中的 FIPS 140 -3。

使用 adminConsole

要在单元配置文件中启用 FIPS 140-3,请完成以下步骤。
  1. 备份现有配置。 要备份配置,请参阅备份和恢复管理配置文件
  2. 停止设置中除部署管理器 WebSphere® Application Server Network Deployment 设置中的所有服务器。
  3. 启用 FIPS 140-3。 要在管理控制台启用 FIPS 140-3,请单击安全 > 管理 FIPS ,选择启用 FIPS 140-3 ,然后单击应用
    • 您还可以使用以下管理员命令启用 FIPS 140-3。
      AdminTask.enableFips('[-enableFips true -fipsLevel FIPS140-3 ]')
  4. 停止 Deployment Manager。
  5. 重新启动 Deployment Manager。
  6. 在每个节点上运行 syncNode 命令,从部署管理器更新配置。
  7. 启动节点代理和服务器。
要在独立配置文件中启用 FIPS 140-3,请完成以下步骤。
  1. 备份现有配置。 要备份配置,请参阅备份和恢复管理配置文件
  2. 启用 FIPS 140-3。 要在管理控制台启用 FIPS 140-3,请单击安全 > 管理 FIPS ,选择启用 FIPS 140-3 ,然后单击应用
    • 您还可以使用以下管理员命令启用 FIPS 140-3。
      AdminTask.enableFips('[-enableFips true -fipsLevel FIPS140-3 ]')
  3. 重新启动应用程序服务器。

如果您正在 adminConsole, 中执行其他操作,请在重新启动部署管理器或独立服务器之前最后启用 FIPS。

启用 FIPS 140-3 后,加密操作只能使用经 FIPS 140-3 批准的算法。

LTPA

现有的 LTPA 密钥文件重命名为 ltpa_nofips.jceks ,并在服务器启动期间生成一套使用 FIPS 140-3 批准算法的新 LTPA 密钥。 启用 FIPS 140-3 后,LTPA 的单点登录 (SSO) 功能只能与其他启用 FIPS 140-3 的服务器一起使用。

如果禁用了 FIPS 140-3,服务器重启后将恢复 ltpa_nofips.jceks 文件中的原始 LTPA 密钥。

如果未禁用 FIPS 140-3,或不需要原始 LTPA 密钥,可删除 ltpa_nofips.jceks 文件。 如果禁用了 FIPS 140-3,并且删除了 ltpa_nofips.jceks 文件,则会在服务器重启时生成新的 LTPA 密钥文件。

TLS

FIPS 140-3 只认可 TLS 1.2 和 TLS 1.3 协议。 更新现有协议,使用 TLS 1.2 和 TLS 1.3 协议中的一个或两个。 有关 TLS 1.2 和 TLS 1.3 协议以及协议支持的密码的信息,请参阅 IBM SDK, Java 技术版文档中的 FIPS 140-3

基于文件的内部存储库

如果配置了基于文件的内部注册表,则必须使用 PBKDF2WithHmacSHA512 哈希算法对用户密码进行哈希处理。 在 WebSphere Application Server9.0.5.24 及以后创建的预案默认使用 PBKDF2WithHmacSHA512 哈希算法。 如果您是从较早版本的 WebSphere Application Server ,请更新散列算法并重新散列所有用户密码。 如果主管理用户配置在基于文件的内部存储库中,则管理控制台中会出现使用 PBKDF2WithHmacSHA512 哈希算法重新散列主管理用户密码的提示。 默认哈希算法更新为使用 PBKDF2WithHmacSHA512。 必须使用 updateUser admin 任务重新配置文件注册库中所有其他用户的密码。
AdminTask.updateUser('-uniqueName uid=tajtest,o=defaultWIMFileBasedRealm  -password newpwd')

要从 adminConsole GUI 重置用户密码,请单击用户和组 > > 管理用户

有关 updateUser 的更多信息,请参阅 updateUser 命令

审计

启用 FIPS 140-3 后,审计记录的加密和签名将使用 FIPS 140-3 批准的算法。

混合节点

启用 FIPS 140-3 后,系统中的所有节点和服务器都必须支持 FIPS 140-3。 WebSphere Application Server Network Deployment 中的所有节点和服务器都必须支持 FIPS 140-3。 如果单元中包含 9.0.5.24 之前的任何节点,则无法启用 FIPS 140-3。

如果启用了 FIPS 140-3,则无法将 9.0.5.24 之前的节点添加到单元中。

Java

支持 FIPS 140-3 所需的最低 IBM SDK 版本是 8.0.8.30 版本。 如果不符合 SDK 的最低版本,则不符合 FIPS 140-3 要求,并会发出错误信息。

客户端

要在客户端上启用 FIPS,请完成以下步骤。
  1. com.ibm.security.useFIPS 属性设置为 trueFIPSLevel 默认设置为 FIPS 140-3。
    com.ibm.security.useFIPS=true 
com.ibm.websphere.security.FIPSLevel=FIPS140-3
  2. 在 JVM 启动脚本中添加 -Xenablefips140-3 系统属性。 使用 wsadmin 时也可以使用 -javaoption -Xenablefips140-3
    对于 Java 瘦客户机和 Java EE 客户机,在 JVM 启动脚本中添加以下 JVM 参数。
    -Dcom.ibm.jsse2.usefipsprovider=true -Dcom.ibm.jsse2.usefipsProviderName=IBMJCEPlusFIPS -Xenablefips140-3

    有关 Java 瘦客户端设置的更多信息,请参阅在客户端计算机上运行 Java 瘦客户端应用程序

    有关使用 launchClient 设置 Java EE 的更多信息,请参阅使用 launchClient 运行 Java EE 客户端应用程序