配置 IBM HTTP Server 以支持 TLS 1.2

IBM Knowledge Center – 配置 IBM HTTP Server 以支持 TLS 1.2

https://www.ibm.com/support/knowledgecenter/zh/SS2L6K_6.0.2/com.ibm.jazz.install.doc/topics/t_enable_tls1.2_ihs.html

配置 IBM HTTP Server 以支持 TLS 1.2

为符合美国政府 SP 800-131 安全标准,可配置 IBM HTTP Server 以支持传输层安全性 (TLS) 1.2 协议。

关于此任务

在分布式环境中,必须在每个 WebSphere® Application Server 节点上执行以下步骤。

过程

  1. 将所有证书转换为 SP800-131 安全标准:
    1. WebSphere Integrated Solutions Console 中,单击安全性 > SSL 证书和密钥管理
    2. 单击管理 FIPS,然后单击转换证书
    3. 请确保算法设置是严格
    4. 对于新证书密钥大小,请选择 2048
    5. 单击确定并直接保存到主配置。
  2. 转换后,必须执行以下步骤以禁用 SP800-131 来配置 IHS
    1. WebSphere Integrated Solutions Console 中,单击安全性 > SSL 证书和密钥管理
    2. 单击管理 FIPS,然后选择禁用 FIPS
  3. 重新启动 WebSphere Application Server 节点以应用更改。
  4. 将已转换自签名证书导入到 plugin-key.kdb 文件中。有关更多信息,请参阅 WebSphere Application Server 证书导入到 HTTP Server 插件中
  5. Integrated Solutions Console 管理 FIPS 页面中重新启用 SP800-131,然后重新启动WebSphere Application Server 以实施“SP800-131 严格方式。
  6. IBM HTTP Server 的安装目录中,查找 httpd.conf 文件。
  7. 打开要编辑的文件,并添加以下代码片段以启用 TLS 1.2。将 9443 替换为要用于服务器的端口号。
  8. LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
  9. Listen 9443
  10. <VirtualHost *:9443>
  11. SSLEnable
  12. SSLFIPSEnable
  13. SSLProtocolEnable TLSv12
  14. SSLProtocolDisable SSLv2 SSLv3 TLSv1 TLSv11
  15. SSLServerCert selfSigned
  16. KeyFile “/opt/IBM/HTTPServer/conf/webserver0.kdb”

    </VirtualHost>

    Copy

  17. 如果 WebSphere Application Server 版本为 8.5.0 及更高版本,请打开 plugin-cfg.xml 文件并启用定制属性 StrictSecurty=”true”

    注:

    如果 IBM HTTP Server 为远程服务器,那么除了 StrictSecurty=”true”,还应确保已设置属性 FIPSEnable=”true”

  18. 重新启动 IBM HTTP Server

    IBM HTTP Server 进行故障诊断

    如果在配置 IBM HTTP Server 以支持 TLS 1.2 时遇到以下错误,请完成相关变通方法文档中的步骤:

    错误:lib_stream: openStream: Failed in r_gsk_secure_soc_init: GSK_ERROR_BAD_CERT(gsk rc = 414) PARTNER CERTIFICATE DN=CN=Server1,OU=CloudBurstCell_5,OU=CloudBurstNode_5,O=IBM,C=US, Serial=02:1e:ea:24:51:de:d2

    变通方法文档:在插件与 WebSphere Application Server V6.1 之间配置 SSL 时发生 GSK_ERROR_BAD_CERT 错误

    错误:lib_stream: openStream: Failed in r_gsk_secure_soc_init: GSK_ERROR_SOCKET_CLOSED(gsk rc = 420) PARTNER CERTIFICATE DN=No Information Available, Serial=No Information Available

    变通方法文档: 如果插件使用 TLS 1.2 并且已针对严格的 SP800-131 一致性进行配置,那么该插件无法连接至应用程序服务器

以下文章点击率最高

Loading…


发表评论

电子邮件地址不会被公开。 必填项已用*标注