IBM Knowledge Center – 配置 IBM HTTP Server 以支持 TLS 1.2
配置 IBM HTTP Server 以支持 TLS 1.2
為符合美國政府 SP 800-131 安全標準,可配置 IBM HTTP Server 以支持傳輸層安全性 (TLS) 1.2 協議。
關於此任務
在分布式環境中,必須在每個 WebSphere® Application Server 節點上執行以下步驟。
過程
-
將所有證書轉換為 SP800-131 安全標準:
-
在 WebSphere Integrated Solutions Console 中,單擊安全性 > SSL 證書和密鑰管理。
-
單擊管理 FIPS,然後單擊轉換證書。
-
請確保算法設置是嚴格。
-
對於新證書密鑰大小,請選擇 2048 位。
-
單擊確定並直接保存到主配置。
-
-
轉換後,必須執行以下步驟以禁用 SP800-131 來配置 IHS:
-
在 WebSphere Integrated Solutions Console 中,單擊安全性 > SSL 證書和密鑰管理。
-
單擊管理 FIPS,然後選擇禁用 FIPS。
-
-
重新啟動 WebSphere Application Server 節點以應用更改。
-
將已轉換自簽名證書導入到 plugin-key.kdb 文件中。有關更多信息,請參閱將 WebSphere Application Server 證書導入到 HTTP Server 插件中。
-
在 Integrated Solutions Console 的管理 FIPS 頁面中重新啟用 SP800-131,然後重新啟動WebSphere Application Server 以實施“SP800-131 嚴格“方式。
-
在 IBM HTTP Server 的安裝目錄中,查找 httpd.conf 文件。
-
打開要編輯的文件,並添加以下代碼片段以啟用 TLS 1.2。將 9443 替換為要用於服務器的端口號。
-
LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
-
Listen 9443
-
<VirtualHost *:9443>
-
SSLEnable
-
SSLFIPSEnable
-
SSLProtocolEnable TLSv12
-
SSLProtocolDisable SSLv2 SSLv3 TLSv1 TLSv11
-
SSLServerCert selfSigned
-
KeyFile “/opt/IBM/HTTPServer/conf/webserver0.kdb”
</VirtualHost>
Copy
-
如果 WebSphere Application Server 版本為 8.5.0 及更高版本,請打開 plugin-cfg.xml 文件並啟用定製屬性 StrictSecurty=”true”。
註:
如果 IBM HTTP Server 為遠程服務器,那麼除了 StrictSecurty=”true”,還應確保已設置屬性 FIPSEnable=”true”。
-
重新啟動 IBM HTTP Server。
對 IBM HTTP Server 進行故障診斷
如果在配置 IBM HTTP Server 以支持 TLS 1.2 時遇到以下錯誤,請完成相關變通方法文檔中的步驟:
錯誤:lib_stream: openStream: Failed in r_gsk_secure_soc_init: GSK_ERROR_BAD_CERT(gsk rc = 414) PARTNER CERTIFICATE DN=CN=Server1,OU=CloudBurstCell_5,OU=CloudBurstNode_5,O=IBM,C=US, Serial=02:1e:ea:24:51:de:d2
變通方法文檔:在插件與 WebSphere Application Server V6.1 之間配置 SSL 時發生 GSK_ERROR_BAD_CERT 錯誤
錯誤:lib_stream: openStream: Failed in r_gsk_secure_soc_init: GSK_ERROR_SOCKET_CLOSED(gsk rc = 420) PARTNER CERTIFICATE DN=No Information Available, Serial=No Information Available
變通方法文檔: 如果插件使用 TLS 1.2 並且已針對嚴格的 SP800-131 一致性進行配置,那麼該插件無法連接至應用程序服務器
以下文章點擊率最高
Loading…