IBM Knowledge Center – 配置 IBM HTTP Server 以支持 TLS 1.2
配置 IBM HTTP Server 以支持 TLS 1.2
为符合美国政府 SP 800-131 安全标准,可配置 IBM HTTP Server 以支持传输层安全性 (TLS) 1.2 协议。
关于此任务
在分布式环境中,必须在每个 WebSphere® Application Server 节点上执行以下步骤。
过程
-
将所有证书转换为 SP800-131 安全标准:
-
在 WebSphere Integrated Solutions Console 中,单击安全性 > SSL 证书和密钥管理。
-
单击管理 FIPS,然后单击转换证书。
-
请确保算法设置是严格。
-
对于新证书密钥大小,请选择 2048 位。
-
单击确定并直接保存到主配置。
-
-
转换后,必须执行以下步骤以禁用 SP800-131 来配置 IHS:
-
在 WebSphere Integrated Solutions Console 中,单击安全性 > SSL 证书和密钥管理。
-
单击管理 FIPS,然后选择禁用 FIPS。
-
-
重新启动 WebSphere Application Server 节点以应用更改。
-
将已转换自签名证书导入到 plugin-key.kdb 文件中。有关更多信息,请参阅将 WebSphere Application Server 证书导入到 HTTP Server 插件中。
-
在 Integrated Solutions Console 的管理 FIPS 页面中重新启用 SP800-131,然后重新启动WebSphere Application Server 以实施“SP800-131 严格“方式。
-
在 IBM HTTP Server 的安装目录中,查找 httpd.conf 文件。
-
打开要编辑的文件,并添加以下代码片段以启用 TLS 1.2。将 9443 替换为要用于服务器的端口号。
-
LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
-
Listen 9443
-
<VirtualHost *:9443>
-
SSLEnable
-
SSLFIPSEnable
-
SSLProtocolEnable TLSv12
-
SSLProtocolDisable SSLv2 SSLv3 TLSv1 TLSv11
-
SSLServerCert selfSigned
-
KeyFile “/opt/IBM/HTTPServer/conf/webserver0.kdb”
</VirtualHost>
Copy
-
如果 WebSphere Application Server 版本为 8.5.0 及更高版本,请打开 plugin-cfg.xml 文件并启用定制属性 StrictSecurty=”true”。
注:
如果 IBM HTTP Server 为远程服务器,那么除了 StrictSecurty=”true”,还应确保已设置属性 FIPSEnable=”true”。
-
重新启动 IBM HTTP Server。
对 IBM HTTP Server 进行故障诊断
如果在配置 IBM HTTP Server 以支持 TLS 1.2 时遇到以下错误,请完成相关变通方法文档中的步骤:
错误:lib_stream: openStream: Failed in r_gsk_secure_soc_init: GSK_ERROR_BAD_CERT(gsk rc = 414) PARTNER CERTIFICATE DN=CN=Server1,OU=CloudBurstCell_5,OU=CloudBurstNode_5,O=IBM,C=US, Serial=02:1e:ea:24:51:de:d2
变通方法文档:在插件与 WebSphere Application Server V6.1 之间配置 SSL 时发生 GSK_ERROR_BAD_CERT 错误
错误:lib_stream: openStream: Failed in r_gsk_secure_soc_init: GSK_ERROR_SOCKET_CLOSED(gsk rc = 420) PARTNER CERTIFICATE DN=No Information Available, Serial=No Information Available
变通方法文档: 如果插件使用 TLS 1.2 并且已针对严格的 SP800-131 一致性进行配置,那么该插件无法连接至应用程序服务器
以下文章点击率最高
Loading…