WebSphere Liberty プロファイルでの FIPS 140-2 または NIST SP800-131a の有効化

以下のいずれかの手順を使用して、WebSphere Liberty プロファイルで FIPS 140-2 または NIST SP800-131a を有効にします。

始める前に

このタスクを開始する前に、構成ウィザードを実行してサービスを開始してください。

手順

  1. FIPS 140-2 を有効にする場合:
    1. <install-dir>\AppScan Enterprise\Liberty\usr\servers\ase にある Liberty のインストール・ディレクトリーを見つけます。
    2. -Dcom.hcl.jsse2.usefipsprovider=true プロパティーを jvm.options ファイルに追加し、JSSE2 プロバイダーが FIPS 140-2 モードで実行できるようにします。
    3. <install-dir>\AppScan Enterprise\Liberty\jre\lib\security ディレクトリーに移動します。
    4. テキスト・エディターで、java.security マスター・セキュリティー・プロパティー・ファイルを編集し、追加の暗号パッケージ・プロバイダーを登録します。
    5. 次の 2 つの行を更新します。

      #ssl.SocketFactory.provider=  #ssl.ServerSocketFactory.provider=

      to (終了)

      ssl.SocketFactory.provider=com.hcl.jsse2.SSLSocketFactoryImpl  ssl.ServerSocketFactory.provider=com.hcl.jsse2.SSLServerSocketFactoryImpl

    6. # List of providers and their preference orders の行の後にある暗号プロバイダーのリストを見つけて、それを以下のリストで置き換えます。

      security.provider.1=com.hcl.crypto.fips.provider.HCLJCEFIPS security.provider.2=com.hcl.jsse2.HCLJSSEProvider2 security.provider.3=com.hcl.crypto.provider.HCLJCE security.provider.4=com.hcl.security.jgss.HCLJGSSProvider security.provider.5=com.hcl.security.cert.HCLCertPath security.provider.6=com.hcl.security.sasl.HCLSASL security.provider.7=com.hcl.xml.crypto.HCLXMLCryptoProvider security.provider.8=com.hcl.xml.enc.HCLXMLEncProvider security.provider.9=org.apache.harmony.security.provider.PolicyProvider security.provider.10=com.hcl.security.jgss.mech.spnego.HCLSPNEGO

    7. <install-dir>\AppScan Enterprise\Liberty\jre\bin に移動し、cmd ウィンドウを開きます。証明書のサイズは少なくとも 1024 バイトでなければなりません。証明書の署名に使用する署名アルゴリズムは DSA または RSA のいずれでも構いません。keytool ユーティリティーを使用して、互換性のある鍵ペアを生成できます。1 keytool -genkey -alias default -keyalg RSA -keysize 1024 -dname CN=example -keystore fips.jks -storepass Liberty -keypass Liberty.
    8. ファイルを保存して閉じ、構成ウィザードを再実行します。
  2. NIST SP800-131a を有効にする場合:
    1. <install-dir>\AppScan Enterprise\Liberty\usr\servers\ase にある Liberty のインストール・ディレクトリーを見つけます。
    2. -Dcom.hcl.jsse2.sp800-131=transition プロパティーを jvm.options ファイルに追加し、JSSE2 プロバイダーが NIST transition モードで実行できるようにします。
    3. 同じディレクトリーにある server.xml ファイルに移動し、sslProtocol="SSL_TLSv2" プロパティーを sslProtocol="TLSv1.2" に置き換えます。
    4. ファイルを保存して閉じ、構成ウィザードを再実行します。