在 WebSphere Liberty 概要文件上启用 FIPS 140-2 或 NIST SP800-131a

使用以下过程之一可在 WebSphere Liberty 概要文件上启用 FIPS 140-2 或 NIST SP800-131a。

开始之前

运行配置向导,并在开始该任务之前启动服务。

过程

  1. 要启用 FIPS 140-2:
    1. 找到 Liberty 的安装目录,位置是: <install-dir>\AppScan Enterprise\Liberty\usr\servers\ase
    2. -Dcom.ibm.jsse2.usefipsprovider=true 属性添加到 jvm.options 文件以使 JSSE2 提供程序能够在 FIPS 140-2 方式下运行。
    3. 转至 <install-dir>\AppScan Enterprise\Liberty\jre\lib\security 目录。
    4. 在文本编辑器中,编辑 java.security 主安全属性文件以注册其他加密包提供程序。
    5. 将以下两行:

      #ssl.SocketFactory.provider=  #ssl.ServerSocketFactory.provider=

      更改为

      ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl  ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl

    6. 找到位于行 # List of providers and their preference orders 之后的加密提供程序的列表,并将其替换为以下列表:

      security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.2=com.ibm.jsse2.IBMJSSEProvider2 security.provider.3=com.ibm.crypto.provider.IBMJCE security.provider.4=com.ibm.security.jgss.IBMJGSSProvider security.provider.5=com.ibm.security.cert.IBMCertPath security.provider.6=com.ibm.security.sasl.IBMSASL security.provider.7=com.ibm.xml.crypto.IBMXMLCryptoProvider security.provider.8=com.ibm.xml.enc.IBMXMLEncProvider security.provider.9=org.apache.harmony.security.provider.PolicyProvider security.provider.10=com.ibm.security.jgss.mech.spnego.IBMSPNEGO

    7. 转至 <install-dir>\AppScan Enterprise\Liberty\jre\bin,然后打开 cmd 窗口。证书的大小必须至少为 1024,并可以通过 DSA 或 RSA 签名算法进行签署。密钥工具实用程序可用于生成兼容密钥对:1 keytool -genkey -alias default -keyalg RSA -keysize 1024 -dname CN=example -keystore fips.jks -storepass Liberty -keypass Liberty
    8. 保存并关闭文件,然后重新运行配置向导。
  2. 要启用 NIST SP800-131a:
    1. 找到 Liberty 的安装目录,位置是: <install-dir>\AppScan Enterprise\Liberty\usr\servers\ase
    2. -Dcom.ibm.jsse2.sp800-131=transition 属性添加到 jvm.options 文件以使 JSSE2 提供程序能够在 NIST 转换方式下运行。
    3. 转至同一目录中的 server.xml 文件并将 sslProtocol="SSL_TLSv2" 属性替换为 sslProtocol="TLSv1.2"
    4. 保存并关闭文件,然后重新运行配置向导。