Handbuch für Sicherheit > Domänensicherheit > Chiffre-Suites für die Informatica-Domäne

Chiffre-Suites für die Informatica-Domäne

Sie können die Chiffre-Suites konfigurieren, die von der Informatica-Domäne beim Verschlüsseln von Verbindungen innerhalb der Informatica-Domäne verwendet werden. Verbindungen der Informatica-Domäne mit Ressourcen außerhalb der Domäne sind von der Konfiguration der Chiffre-Suites nicht betroffen.

Wenn Sie sichere Kommunikation für die Informatica-Domäne oder sichere Verbindungen mit Webanwendungsdiensten aktivieren, verwendet die Informatica-Domäne Chiffre-Suites zum Verschlüsseln des Verkehrs.

Informatica erstellt die Gültigkeitsliste mit Chiffre-Suites basierend auf den folgenden Listen:

Blacklist: Liste mit Chiffre-Suites, die von der Informatica-Domäne blockiert werden sollen. Wenn Sie eine Chiffre-Suite auf die Blacklist setzen, entfernt die Informatica-Domäne die Chiffre-Suite aus der Gültigkeitsliste. Sie können Chiffre-Suites, die sich in der Standardliste befinden, zur Blacklist hinzufügen.
Standardliste: Liste mit Chiffre-Suites, die von der Informatica-Domäne standardmäßig unterstützt werden. Wenn Sie keine Whitelist oder Blacklist konfigurieren, verwendet die Informatica-Domäne die Standardliste als Gültigkeitsliste.; Weitere Informationen finden Sie unter Standardliste der Chiffre-Suites
Whitelist: Liste mit Chiffre-Suites, die von der Informatica-Domäne unterstützt werden sollen. Wenn Sie der Whitelist eine Chiffre-Suite hinzufügen, fügt die Informatica-Domäne die Chiffre-Suite zur Gültigkeitsliste hinzu. Chiffre-Suites, die sich in der Standardliste befinden, müssen nicht zur Whitelist hinzugefügt werden.

Informatica erstellt die Gültigkeitsliste, indem Chiffre-Suites in der Whitelist zur Standardliste hinzugefügt und Chiffre-Suites in der Blacklist aus der Standardliste entfernt werden.

Beachten Sie die folgenden Richtlinien für Gültigkeitslisten:

•Zur Verwendung einer benutzerdefinierten Gültigkeitsliste für sichere Verbindungen mit Webclients muss die Informatica-Domäne sichere Kommunikation innerhalb der Domäne einsetzen. Wenn in der Domäne keine sichere Kommunikation eingesetzt wird, verwendet Informatica die Standardliste als Gültigkeitsliste.
•Die Gültigkeitsliste steuert ausschließlich Verbindungen innerhalb der Informatica-Domäne. Verbindungen mit Datenquellen verwenden die Gültigkeitsliste nicht.
•Die Gültigkeitsliste muss mindestens eine Chiffre-Suite enthalten, die von TLS v1.1 oder 1.2 unterstützt wird.
•Bei der Gültigkeitsliste muss es sich um eine gültige Chiffre-Suite für Windows, die Java-Laufzeitumgebung und OpenSSL handeln.

Erstellen von Listen mit Chiffre-Suites

Um die Informatica-Domäne zur Verwendung bestimmter Chiffre-Suites zu konfigurieren, erstellen Sie eine Whitelist, in der die zusätzlichen zu unterstützenden Chiffre-Suites angegeben werden. Sie können auch eine Blacklist erstellen, in der die zu blockierenden Chiffre-Suites angegeben werden.

Arbeiten Sie mit dem für die Netzwerksicherheit zuständigen Administrator zusammen, um die für die Informatica-Domäne geeigneten Chiffre-Suites festzulegen.

Bei der Liste mit Chiffre-Suites muss es sich um eine kommagetrennte Liste handeln. Verwenden Sie die IANA-Namen (Internet Assigned Numbers Authority) für die Chiffre-Suites in der Liste. Alternativ können Sie einen regulären Java-Ausdruck verwenden.

Sie konfigurieren die Whitelist und die Blacklist mit Infasetup. Sie können die Listen direkt in Befehlsparametern bereitstellen oder Klartextdateien angeben, die kommagetrennte Listen enthalten.

Der folgende Beispieltext zeigt eine Liste mit zwei Chiffre-Suites:

TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_3DES_EDE_CBC_SHA

Sie können die Whitelist und Blacklist mit Chiffre-Suites für die Informatica-Domäne konfigurieren, wenn Sie die Domäne erstellen. Verwenden Sie infasetup, um die Informatica-Domäne sowie die Gateway- und Worker-Knoten zu erstellen. Weitere Informationen zu Infasetup-Befehlen finden Sie in der Informatica-Befehlsreferenz.

Alternativ können Sie die Whitelist und Blacklist für eine vorhandene Informatica-Domäne konfigurieren.

Standardliste der Chiffre-Suites

Standardmäßig verwendet die Informatica-Domäne die folgenden Chiffre-Suites für sichere Kommunikation innerhalb der Domäne sowie für sichere Clientverbindungen:

•TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
•TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
•TLS_RSA_WITH_AES_256_CBC_SHA
•TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
•TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
•TLS_DHE_RSA_WITH_AES_256_CBC_SHA
•TLS_DHE_DSS_WITH_AES_256_CBC_SHA
•TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
•TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
•TLS_RSA_WITH_AES_128_CBC_SHA
•TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
•TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
•TLS_DHE_RSA_WITH_AES_128_CBC_SHA
•TLS_DHE_DSS_WITH_AES_128_CBC_SHA
•TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
•TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
•TLS_RSA_WITH_3DES_EDE_CBC_SHA
•TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
•TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
•TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
•TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
•TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
•TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
•TLS_RSA_WITH_AES_256_CBC_SHA256
•TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
•TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
•TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
•TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
•TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
•TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
•TLS_RSA_WITH_AES_128_CBC_SHA256
•TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
•TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
•TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
•TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
•TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
•TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
•TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
•TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Konfigurieren der Informatica-Domäne anhand einer neuen Gültigkeitsliste mit Chiffre-Suites

Zum Konfigurieren der von der Informatica-Domäne verwendeten Chiffre-Suites müssen Sie die Informatica-Domäne, alle Gateway- sowie Arbeitsknoten mit der gleichen Whitelist und Blacklist aktualisieren.

HINWEIS: Änderungen an der Blacklist, Whitelist und der Gültigkeitsliste sind nicht kumulativ. Informatica erstellt eine neue Gültigkeitsliste basierend auf der Blacklist, der Whitelist und der Standardliste, wenn Sie den Befehl ausführen. Die neue Gültigkeitsliste überschreibt die vorherige Liste.

Führen Sie die folgenden Schritte durch, um eine vorhandene Informatica-Domäne anhand einer neuen Gültigkeitsliste mit Chiffre-Suites zu konfigurieren:

1Fahren Sie die Informatica-Domäne herunter.

2Führen Sie optional den infasetup listDomainCiphers-Befehl aus, um die Listen mit Chiffre-Suites anzuzeigen, die von einer Domäne oder einem Knoten unterstützt oder blockiert werden.

Führen Sie beispielsweise den folgenden Befehl aus, um alle Listen mit Chiffre-Suites anzuzeigen:

infasetup listDomainCiphers -l ALL -dc true

3Führen Sie den infasetup updateDomainCiphers-Befehl auf einem Gateway-Knoten aus und geben Sie eine Whitelist, eine Blacklist oder beide an.

Führen Sie beispielsweise den folgenden Befehl aus, um der Gültigkeitsliste eine Chiffre-Suite hinzuzufügen und zwei Chiffre-Suites aus der Gültigkeitsliste zu entfernen:

infasetup updateDomainCiphers -cwl TLS_DHE_DSS_WITH_AES_128_CBC_SHA -cbl TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_3DES_EDE_CBC_SHA

4Führen Sie den infasetup updateGatewayNode-Befehl auf allen Gateway-Knoten aus und geben Sie eine Whitelist, eine Blacklist oder beide an.

Verwenden Sie dieselbe Whitelist und Blacklist wie die Domäne.

Führen Sie beispielsweise folgenden Befehl aus:

infasetup updateGatewayNode -cwl TLS_DHE_DSS_WITH_AES_128_CBC_SHA -cbl TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_3DES_EDE_CBC_SHA

5Aktualisieren Sie alle Arbeitsknoten mit dem gleichen Satz an Chiffre-Suites wie die Informatica-Domäne.

Verwenden Sie dieselbe Whitelist und Blacklist wie die Domäne.

Führen Sie beispielsweise folgenden Befehl aus:

infasetup updateWorkerNode -cwl TLS_DHE_DSS_WITH_AES_128_CBC_SHA -cbl TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_3DES_EDE_CBC_SHA

6Starten Sie die Informatica-Domäne.

7Führen Sie optional den infacmd isp listDomainCiphers-Befehl aus, um die Listen mit Chiffre-Suites anzuzeigen, die von einer Domäne oder einem Knoten verwendet werden.

Führen Sie beispielsweise den folgenden Befehl aus, um die Gültigkeitsliste mit Chiffre-Suites anzuzeigen, die von der Domäne verwendet wird:

infacmd isp listDomainCiphers -l EFFECTIVE