이 태스크 정보
Suite B를 준수하도록 DWA를 구성하기 위해 최소한의 필수 암호화 강도를 만족시키지 않는 인증서를 사용한 요청을 거부하도록 Apache Tomcat 서버 구성 값을 수정합니다.
FIPS 140-2를 준수하는 보안 제공자를 사용하고 Suite B 모드에서 실행되도록 해당 시스템 특성을 구성해야 합니다. 이 구성은 사용자가 적절한 프로토콜 및 암호 스위트를 사용하도록 합니다.
Suite B 준수에서는 TLS 1.2 프로토콜만 허용합니다. 사용자는 인증서, 키 및 보안 난수 생성기(지정된 경우)가 모두 Suite B를 준수하는지 확인해야 합니다.
중요사항: TLS 1.2 프로토콜을 지정하는 경우에는 벤더 문서를 참조하여 브라우저가 이 버전을 지원하는지 판별하십시오.
Suite B를 준수하도록
DWA를 구성하는 데에는 다음 단계가 포함됩니다.
- 시작 스크립트 파일에서 SSL 프로토콜 및 Suite B 모드를 지정하는 매개변수를 설정합니다.
- TLS 1.2 프로토콜 및 지원되는 암호 스위트만 수락하도록 Apache Tomcat 서버 구성을 수정합니다.
- 암호화 키가 최소 필수 키 강도를 만족시키는지 확인합니다.
- 디지털 서명이 최소 필수 강도를 만족시키는지 확인합니다.
TLS 및 128비트 이상의 보안 레벨을 사용하는 Suite B로 구성된 시스템은 클라이언트 또는 서버 인증에 TLS 1.2, 그리고 ECDSA-256 또는 ECDSA-384 중 하나를 사용해야 합니다.
Suite B 프로파일을 지원하기 위해 다음 시스템 특성이 제공됩니다.
com.ibm.jsse2.suiteB=128|192|false
이 시스템 특성에는 다음 매개변수가 있습니다.
- 128은 128비트 이상의 보안 레벨을 지정합니다.
- 192는 192비트 이상의 보안 레벨을 지정합니다.
- false는 시스템이 Suite B를 준수하지 않음을 지정합니다. 이 값은 기본값입니다.
com.ibm.jsse2.suiteB 시스템 특성을 설정하면 IBMJSSE2는 지정된 보안 레벨의 준수를 보장합니다. IBMJSSE2는 프로토콜, 키 및 인증서가 요청된 프로파일을 준수하는지 유효성 검증합니다.
다음에 수행할 작업
TLS 1.2를 지원하도록 클라이언트 브라우저를 업데이트하십시오.
클라이언트 및 서버 인증서가 적절하게 서명되었는지 확인하십시오. 키 저장소에 있는 키를 확인하십시오.