[root@kai12071 bin]# $CONSOLE_DIR/java/jre/bin/java -version
java version "17.0.8" 2023-07-18
IBM Semeru Runtime Certified Edition 17.0.8.0 (build 17.0.8+7)
Eclipse OpenJ9 VM 17.0.8.0 (build openj9-0.40.0, JRE 17 Linux amd64-64-Bit Compressed References 20230718_477 (JIT enabled, AOT enabled)
OpenJ9 - d12d10c9e
OMR - e80bff83b
JCL - 30f808c1763 based on jdk-17.0.8+7)
查看当前FIPS模式:
[root@kai12071 ~]# cat /proc/sys/crypto/fips_enabled
0
或者:
[root@kai12071 ~]# fips-mode-setup --check
FIPS mode is disabled.
打开FIPS模式:
[root@kai12071 ~]# fips-mode-setup --enable
Kernel initramdisks are being regenerated. This might take some time.
Setting system policy to FIPS
Note: System-wide crypto policies are applied on application start-up.
It is recommended to restart the system for the change of policies
to fully take place.
FIPS mode will be enabled.
Please reboot the system for the setting to take effect.
按照提示,重启一下电脑。
然后再次查看FIPS模式:
[root@kai12071 ~]# cat /proc/sys/crypto/fips_enabled
1
或者:
[root@kai12071 ~]# fips-mode-setup --check
FIPS mode is enabled.
可见,FIPS模式已打开。
DMC下载地址为: https://epwt-www.mybluemix.net/software/support/trial/cst/programwebsite.wss?siteId=1120&tabId=2917
,如下图所示:
我下载的是DMC 3.1.12 for Linux (x64)的命令行安装包,文件名为: ibm-datamgmtconsole-3.1.12-linux.tgz
。
将其下载到 /root/Downloads/dmc3112
目录下。
解压: tar -zxvf ibm-datamgmtconsole-3.1.12-linux.tgz
运行 setup.sh
,安装DMC,具体安装过程略。
安装好DMC以后,用以下两个链接登录:
http://kai12071.fyre.ibm.com:11080/console
https://kai12071.fyre.ibm.com:11081/console
添加repo DB和monitored DB,确保DMC工作正常:
确保系统已安装 nssdb
:
[root@kai12071 ~]# ll /etc/pki/nssdb
total 28
-rw-r--r-- 1 root root 9216 Dec 8 18:19 cert9.db
-rw-r--r-- 1 root root 11264 Dec 8 18:19 key4.db
-rw-r--r-- 1 root root 451 Mar 22 2023 pkcs11.txt
注:此处没有 secmod.db
文件,我们也不需要该文件,但是在我的测试中,若缺少该文件则会有问题(详见文末的常见问题)。解决办法就是创建一个空的 secmod.db
文件:
[root@kai12071 bin]# touch /etc/pki/nssdb/secmod.db
确保系统已安装 pk12util
和 certutil
:
[root@kai12071 ~]# which pk12util
/usr/bin/pk12util
[root@kai12071 ~]# which certutil
/usr/bin/certutil
注:可用 man pk12util
和 man certutil
查看用法。
列出nssdb里的certificate:
[root@kai12071 ibm-datamgmtconsole]# certutil -L -d /etc/pki/nssdb
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI
可见,目前nssdb是空的。
为了方便,先export一些变量。
创建文件 export.sh
如下:
#!/bin/bash
export CONSOLE_DIR=/root/Downloads/dmc3112/ibm-datamgmtconsole
export NSSDB_PATH=/etc/pki/nssdb
export liberty_dsweb=${
CONSOLE_DIR}/wlp/usr/servers/dsweb
export KEYSTORE_PASSWORD=password
export CONSOLE_CONF_DIR=${
CONSOLE_DIR}/Config
export console_conf_file=${
CONSOLE_CONF_DIR}/dswebserver_override.properties
添加 x
属性( chmod +x export.sh
),并运行脚本( . ./export.sh
)。
[root@kai12071 ~]# pk12util -i ${CONSOLE_DIR}/wlp/usr/servers/dsweb/resources/security/key.p12 -W "$KEYSTORE_PASSWORD" -d $NSSDB_PATH -K "$KEYSTORE_PASSWORD"
pk12util: PKCS12 IMPORT SUCCESSFUL
查看nssdb:
[root@kai12071 ~]# certutil -L -d /etc/pki/nssdb
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI
default u,u,u
注:本例中Certificate Nickname是 default
,在别的系统上有可能不同,一定要先看一下。
修改certificate属性:
[root@kai12071 ~]# certutil -M -n "default" -t "CT,CT,CT" -d ${NSSDB_PATH}
再次查看nssdb:
[root@kai12071 ~]# certutil -L -d /etc/pki/nssdb
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI
default CTu,Cu,Cu
可见,属性并没有变成 CT,CT,CT
,不过貌似也没有关系。
注:对属性值 C
、 T
、 u
的解释,可参见 man certutil
。摘录如下:
- C: Trusted CA (implies c)
- T: trusted CA for client authentication (ssl server only)
- u: means that there is a private key associated with the certificate. It is a dynamic flag and you cannot set it with certutil.
通过Java自带的 keytool
工具,把cacerts由 JKS
类型转换为 PKCS12
类型,再导入nssdb。
首先确认 cacerts
文件已存在:
[root@kai12071 ~]# ls -al $CONSOLE_DIR/java/jre/lib/security/cacerts
-rw-r--r-- 1 root root 167595 Dec 8 18:08 /root/Downloads/dmc3112/ibm-datamgmtconsole/java/jre/lib/security/cacerts
转换类型:
[root@kai12071 ~]# $CONSOLE_DIR/java/jre/bin/keytool -noprompt -importkeystore -srckeystore $CONSOLE_DIR/java/jre/lib/security/cacerts -destkeystore /tmp/cacerts.p12 -srcstoretype JKS -deststoretype PKCS12 -deststorepass changeit -srcstorepass changeit
Importing keystore /root/Downloads/dmc3112/ibm-datamgmtconsole/java/jre/lib/security/cacerts to /tmp/cacerts.p12...
Entry for alias _,cro,ocertsign_sa,oucertsign_root_ca_g2 [jdk] successfully imported.
Entry for alias _,ccn,obeijing_certificate_authority,cnbjca_global_root_ca2 [jdk] successfully imported.
......
......
确保已生成目标文件:
[root@kai12071 ~]# ls -al /tmp/cacerts.p12
-rw-r--r-- 1 root root 187680 Dec 8 18:43 /tmp/cacerts.p12
导入nssdb:
[root@kai12071 ~]# pk12util -i /tmp/cacerts.p12 -W changeit -d $NSSDB_PATH
pk12util: PKCS12 IMPORT SUCCESSFUL
删除无用文件:
[root@kai12071 ~]# rm -f /tmp/cacerts.p12
查看nssdb:
[root@kai12071 ~]# certutil -L -d $NSSDB_PATH
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI
default CTu,Cu,Cu
_,cro,ocertsign_sa,oucertsign_root_ca_g2 [jdk] ,,
_,ccn,obeijing_certificate_authority,cnbjca_global_root_ca2 [jdk] ,,
_,cus,stillinois,lchicago,otrustwave_holdings,_inc,cntrustwave_global_certification_authority [jdk] ,,
......
......
修改certificate属性:
[root@kai12071 ~]# certutil -L -d $NSSDB_PATH | grep ",," | sed 's/ ,,.*//' | sed 's/ *$//' | while IFS= read -r line; do echo "Trust ${line} ..."; certutil -M -n "$line" -t "CT,CT,CT" -d $NSSDB_PATH; done
Trust _,cro,ocertsign_sa,oucertsign_root_ca_g2 [jdk] ...
Trust _,ccn,obeijing_certificate_authority,cnbjca_global_root_ca2 [jdk] ...
Trust _,cus,stillinois,lchicago,otrustwave_holdings,_inc,cntrustwave_global_certification_authority [jdk] ...
......
......
再次查看nssdb:
[root@kai12071 ~]# certutil -L -d $NSSDB_PATH
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI
default CTu,Cu,Cu
_,cro,ocertsign_sa,oucertsign_root_ca_g2 [jdk] CT,C,C
_,ccn,obeijing_certificate_authority,cnbjca_global_root_ca2 [jdk] CT,C,C
_,cus,stillinois,lchicago,otrustwave_holdings,_inc,cntrustwave_global_certification_authority [jdk] CT,C,C
......
......
前面的工作都完成后,查看一下nssdb:
[root@kai12071 ~]# certutil -K -d ${NSSDB_PATH}
certutil: Checking token "NSS FIPS 140-2 Certificate DB" in slot "NSS FIPS 140-2 User Private Key Services"
< 0> rsa 642041b44793a07b6d67a9ef6f24ebac63caeb71 default
注: -K
表示列出key ID。
[root@kai12071 ~]# certutil -L -d ${NSSDB_PATH}
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI
default CTu,Cu,Cu
_,cro,ocertsign_sa,oucertsign_root_ca_g2 [jdk] CT,C,C
_,ccn,obeijing_certificate_authority,cnbjca_global_root_ca2 [jdk] CT,C,C
_,cus,stillinois,lchicago,otrustwave_holdings,_inc,cntrustwave_global_certification_authority [jdk] CT,C,C
......
......
把 ${liberty_dsweb}/jvm.options
文件备份一下,然后修改文件,添加如下内容:
-Dsemeru.fips=true
-Djava.security.debug=semerufips
-Djavax.net.ssl.trustStoreType=PKCS11
-Djavax.net.ssl.trustStore=NONE
-Djavax.net.ssl.trustStoreProvider=SunPKCS11-NSS-FIPS
把 ${liberty_dsweb}/server.xml
文件备份一下,然后修改文件,找到如下内容:
<include location="${dshome}/Config/SSLConfig.xml" optional="true"/>
将其修改为:
<include location="${dshome}/Config/FIPSSSLConfig.xml" optional="true"/>
注: SSLConfig.xml
文件内容如下:
<server>
<keyStore id="defaultKeyStore" password="${wlp.keystore.password}" location="${wlp.keystore.location}" type="${wlp.keystore.type}"/>
<keyStore id="defaultTrustStore" password="${wlp.truststore.password}" location="${wlp.truststore.location}" type="${wlp.truststore.type}"/>
</server>
FIPSSSLConfig.xml
文件内容如下:
<server description="FIPS liberty SSL configuration">
<!-- The FIPS SSL configuration. See https://www.ibm.com/support/pages/node/6612693 for more details -->
<!-- Kesytore as defined by documentation: https://www.ibm.com/support/pages/node/6612693 -->
<!-- Truststore not specified, will default to the specified keystore -->
<!-- TLSv1.2 only although it might be enforced by FIPS already -->
<!-- Ciphers list not specified, letting underlying FIPS configuration to decide which ciphers are appropriate -->
<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" sslProtocol="TLSv1.2"/>
<keyStore id="defaultKeyStore" location="${dshome}/Config/pkcs11cfg.cfg" type="PKCS11-NSS-FIPS" fileBased="false" password="changeit" provider="SunPKCS11-NSS-FIPS"/>
</server>
查看 ${dshome}/Config/pkcs11cfg.cfg
文件,确保其内容如下:
name = NSS-FIPS
library = /usr/lib64/libsoftokn3.so
slot = 3
showInfo=true
注: ${dshome}
就是DMC的路径,本例中为 /root/Downloads/dmc3112/ibm-datamgmtconsole
。
把 ${CONSOLE_DIR}/java/jre/conf/security/java.security
文件备份一下,然后修改文件,找到 # Java Restricted Security Mode
部分,添加如下内容:
RestrictedSecurity1.jce.provider.5 = SunJCE [{
SecretKeyFactory, PBKDF2WithHmacSHA1, *}, \
{
SecretKeyFactory, PBKDF2WithHmacSHA224, *}, \
{
SecretKeyFactory, PBKDF2WithHmacSHA256, *}, \
{
SecretKeyFactory, PBKDF2WithHmacSHA384, *}, \
{
SecretKeyFactory, PBKDF2WithHmacSHA512, *}]
备份 ${CONSOLE_CONF_DIR}/dswebserver_override.properties
文件,然后修改文件,添加如下内容:
FIPS_MODE=true
在 /root/Downloads/dmc3112/ibm-datamgmtconsole/bin
目录下,重启DMC:
[root@kai12071 bin]# ./restart.sh
Fri Dec 8 07:18:05 PM PST 2023 Stopping IBM Db2 Data Management Console
Stopping server dsweb.
Server dsweb stopped.
Fri Dec 8 07:18:07 PM PST 2023 Successfully stopped IBM Db2 Data Management Console.
Updating the application server bootstrap and environment properties ...
Updating the applications ...
Fri Dec 8 07:18:18 PM PST 2023 Starting IBM Db2 Data Management Console.
Starting server dsweb.
Server dsweb started with process ID 5287.
Fri Dec 8 07:18:20 PM PST 2023 Successfully started IBM Db2 Data Management Console.
******************************************************************************
Summary
* Web console HTTP URL
http://kai12071.fyre.ibm.com:11080/console
* Web console HTTPS URL
https://kai12071.fyre.ibm.com:11081/console
注:也可以先 ./stop.sh
,再 ./startup.sh
。
登录DMC:
http://kai12071.fyre.ibm.com:11080/console
https://kai12071.fyre.ibm.com:11081/console
确保DMC工作正常。
至此,工作全部完成。
RedHat 8和9自带 fips-mode-setup
,可以直接用,但ReHat 7并没有该工具。
官网提供了在RedHat 7上如何手工打开FIPS模式的文档: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/chap-federal_standards_and_regulations#sect-Federal_Information_Processing_Standard
注:我没有实际测试过。
在RedHat 8上, /etc/pki/nssdb
目录下的文件为:
[root@kai12101 ~]# ls /etc/pki/nssdb/
cert8.db cert9.db key3.db key4.db pkcs11.txt secmod.db
在RedHat 9上, /etc/pki/nssdb
目录下的文件为:
[root@kai12071 ~]# ls /etc/pki/nssdb
cert9.db key4.db pkcs11.txt
我们实际使用时,并不需要 secmod.db
文件,但是在我的测试中,最后启动DMC的时候,虽然貌似能启动,但是实际并没有启起来。在Liberty的log文件 $CONSOLE_DIR/logs/messages.log
里,报错如下:
[12/8/23, 19:18:19:882 PST] 00000021 LogService-9-com.ibm.ws.config E CWWKE0701E: FrameworkEvent ERROR org.osgi.framework.BundleException: Exception in com.ibm.ws.config.internal.WSConfigActivator.start() of bundle com.ibm.ws.config.
at org.eclipse.osgi.internal.framework.BundleContextImpl.startActivator(BundleContextImpl.java:839)
at org.eclipse.osgi.internal.framework.BundleContextImpl.start(BundleContextImpl.java:767)
......
......
Caused by: java.lang.ExceptionInInitializerError
at java.base/java.lang.J9VMInternals.ensureError(Unknown Source)
at java.base/java.lang.J9VMInternals.recordInitializationFailure(Unknown Source)
......
......
Caused by: java.security.ProviderException: Could not initialize NSS
at sun.security.pkcs11.SunPKCS11.<init>(Unknown Source)
at jdk.crypto.cryptoki/sun.security.pkcs11.SunPKCS11$1.run(Unknown Source)
......
......
Caused by: java.io.FileNotFoundException: /etc/pki/nssdb/secmod.db
at jdk.crypto.cryptoki/sun.security.pkcs11.Secmod.initialize(Unknown Source)
... 42 more
注意其中的 java.io.FileNotFoundException: /etc/pki/nssdb/secmod.db
,可能Liberty启动时还是会检查该文件是否存在。
解决办法就是创建一个空的 secmod.db
文件:
[root@kai12071 bin]# touch /etc/pki/nssdb/secmod.db
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/security_hardening/using-the-system-wide-cryptographic-policies_security-hardening#switching-the-system-to-fips-mode_using-the-system-wide-cryptographic-policies
https://epwt-www.mybluemix.net/software/support/trial/cst/programwebsite.wss?siteId=1120&tabId=2917
https://openliberty.io/docs/latest/enable-fips.html
https://stackoverflow.com/questions/11538988/nss-shared-db-not-working-with-sunpkcs11
https://www.ibm.com/docs/en/was-liberty/nd?topic=liberty-setting-up-fips-compliance
https://wiki.archlinux.org/title/Network_Security_Services
https://www.ibm.com/support/pages/fips-certified-cryptography-ibm-semeru-runtimes
文章浏览阅读3.2k次。本文研究全球与中国市场分布式光纤传感器的发展现状及未来发展趋势,分别从生产和消费的角度分析分布式光纤传感器的主要生产地区、主要消费地区以及主要的生产商。重点分析全球与中国市场的主要厂商产品特点、产品规格、不同规格产品的价格、产量、产值及全球和中国市场主要生产商的市场份额。主要生产商包括:FISO TechnologiesBrugg KabelSensor HighwayOmnisensAFL GlobalQinetiQ GroupLockheed MartinOSENSA Innovati_预计2026年中国分布式传感器市场规模有多大
文章浏览阅读1.1k次,点赞2次,收藏12次。常用组合逻辑电路结构——为IC设计的延时估计铺垫学习目的:估计模块间的delay,确保写的代码的timing 综合能给到多少HZ,以满足需求!_基4布斯算法代码
文章浏览阅读3.3k次,点赞3次,收藏5次。OpenAI Manager助手(基于SpringBoot和Vue)_chatgpt网页版
文章浏览阅读2.2k次。USACO自1992年举办,到目前为止已经举办了27届,目的是为了帮助美国信息学国家队选拔IOI的队员,目前逐渐发展为全球热门的线上赛事,成为美国大学申请条件下,含金量相当高的官方竞赛。USACO的比赛成绩可以助力计算机专业留学,越来越多的学生进入了康奈尔,麻省理工,普林斯顿,哈佛和耶鲁等大学,这些同学的共同点是他们都参加了美国计算机科学竞赛(USACO),并且取得过非常好的成绩。适合参赛人群USACO适合国内在读学生有意向申请美国大学的或者想锻炼自己编程能力的同学,高三学生也可以参加12月的第_usaco可以多次提交吗
文章浏览阅读394次。1.1 存储程序1.2 创建存储过程1.3 创建自定义函数1.3.1 示例1.4 自定义函数和存储过程的区别1.5 变量的使用1.6 定义条件和处理程序1.6.1 定义条件1.6.1.1 示例1.6.2 定义处理程序1.6.2.1 示例1.7 光标的使用1.7.1 声明光标1.7.2 打开光标1.7.3 使用光标1.7.4 关闭光标1.8 流程控制的使用1.8.1 IF语句1.8.2 CASE语句1.8.3 LOOP语句1.8.4 LEAVE语句1.8.5 ITERATE语句1.8.6 REPEAT语句。_mysql自定义函数和存储过程
文章浏览阅读188次。半导体二极管——集成电路最小组成单元。_本征半导体电流为0
文章浏览阅读2.8k次,点赞3次,收藏18次。游戏水面特效实现方式太多。咱们这边介绍的是一最简单的UV动画(无顶点位移),整个mesh由4个顶点构成。实现了水面效果(左图),不动代码稍微修改下参数和贴图可以实现岩浆效果(右图)。有要思路是1,uv按时间去做正弦波移动2,在1的基础上加个凹凸图混合uv3,在1、2的基础上加个水流方向4,加上对雾效的支持,如没必要请自行删除雾效代码(把包含fog的几行代码删除)S..._unity 岩浆shader
文章浏览阅读5k次。广义线性模型是线性模型的扩展,它通过连接函数建立响应变量的数学期望值与线性组合的预测变量之间的关系。广义线性模型拟合的形式为:其中g(μY)是条件均值的函数(称为连接函数)。另外,你可放松Y为正态分布的假设,改为Y 服从指数分布族中的一种分布即可。设定好连接函数和概率分布后,便可以通过最大似然估计的多次迭代推导出各参数值。在大部分情况下,线性模型就可以通过一系列连续型或类别型预测变量来预测正态分布的响应变量的工作。但是,有时候我们要进行非正态因变量的分析,例如:(1)类别型.._广义线性回归模型
文章浏览阅读69次。环境保护、 保护地球、 校园环保、垃圾分类、绿色家园、等网站的设计与制作。 总结了一些学生网页制作的经验:一般的网页需要融入以下知识点:div+css布局、浮动、定位、高级css、表格、表单及验证、js轮播图、音频 视频 Flash的应用、ul li、下拉导航栏、鼠标划过效果等知识点,网页的风格主题也很全面:如爱好、风景、校园、美食、动漫、游戏、咖啡、音乐、家乡、电影、名人、商城以及个人主页等主题,学生、新手可参考下方页面的布局和设计和HTML源码(有用点赞△) 一套A+的网_垃圾分类网页设计目标怎么写
文章浏览阅读614次,点赞7次,收藏11次。之前找到一个修改 exe 中 DLL地址 的方法, 不太好使,虽然能正确启动, 但无法改变 exe 的工作目录,这就影响了.Net 中很多获取 exe 执行目录来拼接的地址 ( 相对路径 ),比如 wwwroot 和 代码中相对目录还有一些复制到目录的普通文件 等等,它们的地址都会指向原来 exe 的目录, 而不是自定义的 “lib” 目录,根本原因就是没有修改 exe 的工作目录这次来搞一个启动程序,把 .net 的所有东西都放在一个文件夹,在文件夹同级的目录制作一个 exe._.net dll 全局目录
文章浏览阅读1.5k次。本文为转载,原博客地址:http://blog.csdn.net/hujingshuang/article/details/46910259简介 BRIEF是2010年的一篇名为《BRIEF:Binary Robust Independent Elementary Features》的文章中提出,BRIEF是对已检测到的特征点进行描述,它是一种二进制编码的描述子,摈弃了利用区域灰度..._breif description calculation 特征点
文章浏览阅读4.1k次,点赞21次,收藏79次。本文是《基于SpringBoot的房屋租赁管理系统》的配套原创说明文档,可以给应届毕业生提供格式撰写参考,也可以给开发类似系统的朋友们提供功能业务设计思路。_基于spring boot的房屋租赁系统论文