設定 Liberty 設定檔來執行於 SP800-131a 中
您可以設定一個 Liberty 設定檔來符合「國家標準與技術機構 (NIST)」發起的 SP800-131a 需求。
關於這項作業
SP800-131a 要求較長的金鑰與較強的加密法。 另外,這個規格還提供了一個轉移配置,讓使用者能夠移到嚴格施行的 SP800-131a。 這個轉移配置還讓使用者能夠混合執行 FIPS140-2 和 SP800-131a 設定。 SP800-131a 可以執行兩種模式:轉移和嚴格。 轉移模式提供的設定可讓使用者將環境移到 SP800-131a 嚴格模式。 在轉移模式中,使用 SP800-131a 要求的憑證以及將通訊協定設為 SP800-131a 是選用的
在 Liberty 設定檔上嚴格施行 SP800-131a 需求包括:
- 在 Secure Sockets Layer (SSL) 環境定義上使用「傳輸層安全 (TLS) 1.2 版」通訊協定。
- 憑證長度下限是 2048。 Elliptical Curve (EC) 憑證要求至少是 244 位元的曲線。
- 憑證必須使用 SHA256、SHA384 或 SHA512 簽章演算法來簽章。
有效的 signatureAlgorithms 包括:
- SHA256withRSA
- SHA384withRSA
- SHA512withRSA
- SHA256withECDSA
- SHA384withECDSA
- SHA512withECDSA
註:如果使用 SHA384withECDSA 或 SHA512withECDSA,必須備妥適用於 IBM® JDK 的無限制原則檔。
- SP800-131a 核准的密碼組合。
註: 如果要配置 Liberty 設定檔伺服器來執行 SP800-131a 模式,使用者必須執行支援 SP800-131a 的 IBM JDK 層次。
IBM JDK 的最低層次包括 Java™ 6 sr 10、Java 6.0.1 sr 2 或 Java 7。
如需 SP800-131a 標準的相關資訊,請參閱國家標準與技術機構。
您可以配置 Liberty 設定檔來執行 SP800-131a 嚴格模式或轉移模式,方式如下: