WebSphere Liberty プロファイルでの FIPS 140-2 または NIST SP800-131a の有効化

以下のいずれかの手順を使用して、WebSphere Liberty プロファイルで FIPS 140-2 または NIST SP800-131a を有効にします。

始める前に

このタスクを開始する前に、構成ウィザードを実行してサービスを開始してください。

手順

  1. FIPS 140-2 を有効にする場合:
    1. <install-dir>\AppScan Enterprise\Liberty\usr\servers\ase にある Liberty のインストール・ディレクトリーを見つけます。
    2. -Dcom.ibm.jsse2.usefipsprovider=true プロパティーを jvm.options ファイルに追加し、JSSE2 プロバイダーが FIPS 140-2 モードで実行できるようにします。
    3. <install-dir>\AppScan Enterprise\Liberty\jre\lib\security ディレクトリーに移動します。
    4. テキスト・エディターで、java.security マスター・セキュリティー・プロパティー・ファイルを編集し、追加の暗号パッケージ・プロバイダーを登録します。
    5. 次の 2 つの行を更新します。

      #ssl.SocketFactory.provider=  #ssl.ServerSocketFactory.provider=

      範囲:

      ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl  ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl

    6. # List of providers and their preference orders の行の後にある暗号プロバイダーのリストを見つけて、それを以下のリストで置き換えます。

      security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.2=com.ibm.jsse2.IBMJSSEProvider2 security.provider.3=com.ibm.crypto.provider.IBMJCE security.provider.4=com.ibm.security.jgss.IBMJGSSProvider security.provider.5=com.ibm.security.cert.IBMCertPath security.provider.6=com.ibm.security.sasl.IBMSASL security.provider.7=com.ibm.xml.crypto.IBMXMLCryptoProvider security.provider.8=com.ibm.xml.enc.IBMXMLEncProvider security.provider.9=org.apache.harmony.security.provider.PolicyProvider security.provider.10=com.ibm.security.jgss.mech.spnego.IBMSPNEGO

    7. <install-dir>\AppScan Enterprise\Liberty\jre\bin に移動し、cmd ウィンドウを開きます。証明書のサイズは少なくとも 1024 バイトでなければなりません。証明書の署名に使用する署名アルゴリズムは DSA または RSA のいずれでも構いません。keytool ユーティリティーを使用して、互換性のある鍵ペアを生成できます。1 keytool -genkey -alias default -keyalg RSA -keysize 1024 -dname CN=example -keystore fips.jks -storepass Liberty -keypass Liberty
    8. ファイルを保存して閉じ、構成ウィザードを再実行します。
  2. NIST SP800-131a を有効にする場合:
    1. <install-dir>\AppScan Enterprise\Liberty\usr\servers\ase にある Liberty のインストール・ディレクトリーを見つけます。
    2. -Dcom.ibm.jsse2.sp800-131=transition プロパティーを jvm.options ファイルに追加し、JSSE2 プロバイダーが NIST transition モードで実行できるようにします。
    3. 同じディレクトリーにある server.xml ファイルに移動し、sslProtocol="SSL_TLSv2" プロパティーを sslProtocol="TLSv1.2" に置き換えます。
    4. ファイルを保存して閉じ、構成ウィザードを再実行します。