Windows 使用者鑑別和 TLS 憑證

傳輸層安全 (TLS) 憑證可在 Rational® DOORS® 伺服器和 Rational DOORS 用戶端之間,提供安全且加密的通訊。 當使用者使用 Windows 使用者鑑別登入 Rational DOORS 時,就會使用 TLS 憑證。

TLS 憑證和金鑰儲存庫

TLS 憑證可提供 Rational DOORS 伺服器和 Rational DOORS 用戶端之間的安全通訊。

用戶端傳送憑證至伺服器以進行驗證,而伺服器也會傳送憑證至用戶端以進行驗證。

驗證會由金鑰儲存庫執行。 用戶端金鑰儲存庫會驗證伺服器憑證,而伺服器金鑰儲存庫會驗證用戶端憑證。

憑證可依據樹狀結構方式加以組織,主要憑證是在樹狀結構頂端。 樹狀結構中的所有憑證會繼承主要憑證的可信度。 金鑰儲存庫可個別驗證每個憑證,或者,如果金鑰儲存庫驗證主要憑證,則每個憑證也都會受到驗證。

依預設,Rational DOORS 在安裝時隨附 IBM® GSKIT 所提供的 TLS 憑證,以及備妥可用的兩個金鑰儲存庫。

金鑰儲存庫是在 certdb 資料夾中。用戶端金鑰儲存庫名稱為 client_authentication.kdb,而伺服器金鑰儲存庫名稱為 server_authentication.kdb

client_authentication.kdb 金鑰儲存庫包含用戶端可傳送至伺服器的憑證(名稱為 IBM_CL1),而 server_authentication.kdb 金鑰儲存庫包含伺服器可傳送至用戶端的憑證(名稱為 IBM_SV1)。 IBM_SV1 包含伺服器執行所在的電腦名稱。 依預設,這是 IBMEDSERV

用戶端金鑰儲存庫也包含樹狀結構(包含伺服器憑證)的主要憑證,供用戶端金鑰儲存庫驗證伺服器憑證。 舉例來說,client_authentication.kdb 包含樹狀結構(包含 IBM_SV1)的主要憑證,並用以驗證 IBM_SV1。 伺服器金鑰儲存庫包含樹狀結構(包含用戶端憑證)的主要憑證,並用來驗證用戶端憑證。

如果您啟動 Rational DOORS 伺服器時未變更任何預設值,則依預設會使用此伺服器金鑰儲存庫和憑證配置,且所有 Rational DOORS 用戶端都會與伺服器建立安全連線。

您可以變更預設值,以及依您的指定來設定系統。 您可以執行指令行參數,讓您指定不同的金鑰儲存庫、憑證名稱或伺服器名稱,來達成這個目的。 例如,您可以將 IBM_SV1 變更為不同的憑證名稱,或將 IBMEDSERV 變更為不同的伺服器名稱。

智慧卡憑證

在您使用智慧卡時,用戶端憑證不是在 Rational DOORS 用戶端上。它是在智慧卡上,且附上與使用者相關聯的識別名稱 (DN)。 智慧卡上的憑證是以憑證標籤作為識別。 使用者是以 DN 作為識別。 DN 是由屬性=值配對所組成,以逗點分隔,例如:

CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

意見