Activation de FIPS 140-2 ou NIST SP800-131a sur le profil WebSphere Liberty

Utilisez l'une de ces procédures pour activer FIPS 140-2 ou NIST SP800-131a sur le profil WebSphere Liberty.

Avant de commencer

Exécutez l'assistant de configuration et démarrez les services avant de commencer cette tâche.

Procédure

  1. Pour activer FIPS 140-2 :
    1. Localisez le répertoire d'installation de Liberty dans <install-dir>\AppScan Enterprise\Liberty\usr\servers\ase.
    2. Ajoutez la propriété -Dcom.ibm.jsse2.usefipsprovider=true au fichier jvm.options pour permettre au fournisseur JSSE2 de s'exécuter en mode FIPS 140-2.
    3. Accédez au répertoire <install-dir>\AppScan Enterprise\Liberty\jre\lib\security.
    4. Dans un éditeur de texte, modifiez le fichier de propriétés de sécurité maître java.security pour enregistrer des fournisseurs de module cryptographique supplémentaires.
    5. Mettez à jour les deux lignes suivantes :

      #ssl.SocketFactory.provider=  #ssl.ServerSocketFactory.provider=

      en

      ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl  ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl

    6. Recherchez la liste des fournisseurs cryptographiques située après la ligne # List of providers and their preference orders, puis remplacez-la par la liste suivante :

      security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.2=com.ibm.jsse2.IBMJSSEProvider2 security.provider.3=com.ibm.crypto.provider.IBMJCE security.provider.4=com.ibm.security.jgss.IBMJGSSProvider security.provider.5=com.ibm.security.cert.IBMCertPath security.provider.6=com.ibm.security.sasl.IBMSASL security.provider.7=com.ibm.xml.crypto.IBMXMLCryptoProvider security.provider.8=com.ibm.xml.enc.IBMXMLEncProvider security.provider.9=org.apache.harmony.security.provider.PolicyProvider security.provider.10=com.ibm.security.jgss.mech.spnego.IBMSPNEGO

    7. Accédez au répertoire <install-dir>\AppScan Enterprise\Liberty\jre\bin et ouvrez une fenêtre cmd. Vos certificats doivent avoir une taille d'au moins 1 024 et ils peuvent être signés avec un algorithme de signature DSA ou RSA. L'utilitaire de clé peut être utilisé pour générer une paire de clés compatible : 1 keytool -genkey -alias default -keyalg RSA -keysize 1024 -dname CN=example -keystore fips.jks -storepass Liberty -keypass Liberty.
    8. Enregistrez et fermez le fichier puis relancez l'assistant de configuration.
  2. Pour activer NIST SP800-131a :
    1. Localisez le répertoire d'installation de Liberty dans <install-dir>\AppScan Enterprise\Liberty\usr\servers\ase.
    2. Ajoutez la propriété -Dcom.ibm.jsse2.sp800-131=transition au fichier jvm.options pour permettre au fournisseur JSSE2 de s'exécuter en mode de transition NIST.
    3. Accédez au fichier server.xml dans le même répertoire et remplacez la propriété sslProtocol="SSL_TLSv2" par sslProtocol="TLSv1.2".
    4. Enregistrez et fermez le fichier puis relancez l'assistant de configuration.