在 WebSphere Liberty Profile 上啟用 FIPS 140-2 或 NIST SP800-131a

使用下列其中一個程序,在 WebSphere Liberty Profile 上啟用 FIPS 140-2 或 NIST SP800-131a。

開始之前

開始這項作業之前,執行配置精靈並啟動服務。

程序

  1. 如果要啟用 FIPS 140-2,請執行下列動作:
    1. <install-dir>\AppScan Enterprise\Liberty\usr\servers\ase 找出 Liberty 的安裝目錄。
    2. -Dcom.ibm.jsse2.usefipsprovider=true 內容新增至 jvm.options 檔,使 JSSE2 提供者可以在 FIPS 140-2 模式下執行。
    3. 移至 <install-dir>\AppScan Enterprise\Liberty\jre\lib\security 目錄。
    4. 在文字編輯器中,編輯 java.security 主要安全內容檔案,以登錄其他的加密套件提供者。
    5. 更新以下這兩行:

      #ssl.SocketFactory.provider=  #ssl.ServerSocketFactory.provider=

      ssl.SocketFactory.provider=com.ibm.jsse2.SSLSocketFactoryImpl  ssl.ServerSocketFactory.provider=com.ibm.jsse2.SSLServerSocketFactoryImpl

    6. 找出位於 # List of providers and their preference orders 這一行後面的加密提供者清單,將它換成下列清單:

      security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.2=com.ibm.jsse2.IBMJSSEProvider2 security.provider.3=com.ibm.crypto.provider.IBMJCE security.provider.4=com.ibm.security.jgss.IBMJGSSProvider security.provider.5=com.ibm.security.cert.IBMCertPath security.provider.6=com.ibm.security.sasl.IBMSASL security.provider.7=com.ibm.xml.crypto.IBMXMLCryptoProvider security.provider.8=com.ibm.xml.enc.IBMXMLEncProvider security.provider.9=org.apache.harmony.security.provider.PolicyProvider security.provider.10=com.ibm.security.jgss.mech.spnego.IBMSPNEGO

    7. 移至 <install-dir>\AppScan Enterprise\Liberty\jre\bin 並開啟 cmd 視窗。您的憑證大小必須至少為 1024,且可以透過 DSA 或 RSA 簽章演算法加以簽章。keytool 公用程式可以用來產生相容的金鑰組:1 keytool -genkey -alias default -keyalg RSA -keysize 1024 -dname CN=example -keystore fips.jks -storepass Liberty -keypass Liberty
    8. 儲存並關閉檔案,然後重新執行配置精靈。
  2. 如果要啟用 NIST SP800-131a,請執行下列動作:
    1. <install-dir>\AppScan Enterprise\Liberty\usr\servers\ase 找出 Liberty 的安裝目錄。
    2. -Dcom.ibm.jsse2.sp800-131=transition 內容新增至 jvm.options 檔,使 JSSE2 提供者可以在 NIST 轉移模式下執行。
    3. 移至相同目錄中的 server.xml 檔案,並且將 sslProtocol="SSL_TLSv2" 內容取代為 sslProtocol="TLSv1.2"
    4. 儲存並關閉檔案,然後重新執行配置精靈。