Смарт-карты и сертификаты TLS

Сертификаты TLS обеспечивают безопасное взаимодействие между сервером Rational DOORS и клиентом Rational DOORS. Для входа в Rational DOORS с помощью смарт-карт применяются сертификаты TLS.

Сертификаты и хранилища ключей TLS

Клиент отправляет сертификат серверу для проверки, а сервер отправляет сертификат клиенту. Проверка выполняется хранилищами ключей. Хранилище ключей клиента проверяет сертификат сервера, а хранилище ключей сервера проверяет сертификат клиента.

Сертификаты образуют иерархическую структуру, на верхнем уровне которой расположен корневой сертификат. Все сертификаты в дереве наследуют уровень доверия корневого сертификата. Хранилища ключей могут проверять каждый сертификат отдельно. Если хранилище ключей успешно проверяет корневой сертификат, то все остальные сертификаты остальные сертификаты также проверяются.

По умолчанию вместе с продуктом Rational DOORS устанавливаются сертификаты TLS из IBM® GSKIT и два готовые к использованию хранилища ключей.

Хранилища ключей расположены в папке certdb. Хранилище ключей клиента: client_authentication.kdb, хранилище ключей сервера: server_authentication.kdb.

Хранилище ключей client_authentication.kdb содержит сертификат IBM_CL1, который клиент может отправить серверу, а хранилище ключей server_authentication.kdb содержит сертификат IBM_SV1, который сервер может отправить клиенту. Сертификат IBM_SV1 содержит имя системы, в которой работает сервер. Имя по умолчанию: IBMEDSERV.

Кроме того, хранилище ключей клиента содержит корневой сертификат иерархической структуры, в состав которой входит сертификат сервера, с помощью которого хранилище ключей клиента проверяет сертификат сервера. Например, хранилище ключей client_authentication.kdb содержит корневой сертификат дерева, которое содержит сертификат IBM_SV1, и использует этот корневой сертификат для проверки IBM_SV1. Хранилище ключей сервера содержит корневой сертификат иерархической структуры, содержащей сертификат клиента; он применяется для проверки сертификата клиента.

Если запустить Rational DOORS в защищенном режиме, то все клиенты Rational DOORS устанавливают защищенные соединения с сервером. Если параметры командной строки не указаны, то применяются следующие значения по умолчанию:
  • server_authentication.kdb - это имя хранилища ключей сервера
  • IBM_SV1 - это имя сертификата
  • IBMEDSERV - это имя сервера

Параметры по умолчанию можно изменить, чтобы настроить систему с учетом конкретных спецификаций. При необходимости с помощью параметров командной строки можно указать другое хранилище ключей, имя сертификата или имя сервера. Например, вместо IBM_SV1 и IBMEDSERV можно указать другие значения.

Сертификаты смарт-карт и отличительные имена

В случае применения смарт-карт сертификат клиента не доступен на клиенте Rational DOORS. Сертификат клиента расположен на смарт-карте вместе с отличительным именем (DN) пользователя. Роль идентификатора сертификата смарт-карты выполняет метка сертификата. В качестве идентификатора пользователя применяется DN. DN состоит из пар атрибут=значение, перечисленных через запятую:
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

Сертификаты хранилища ключей

В случае применения хранилища ключей сертификат расположен в хранилище ключей вместе с отличительным именем (DN) пользователя. Роль идентификатора сертификата хранилища ключей выполняет метка сертификата, в качестве идентификатора пользователя применяется DN. DN состоит из пар атрибут=значение, перечисленных через запятую:
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

Отличительные имена и администратор

Администратор - это специальная учетная запись, применяемая в экстренных ситуациях. Например, учетную запись администратора можно использовать, если другие пользователи не могут войти в систему или им недоступна часть базы данных. В случае применения смарт-карт и сертификатов отличительное имя (DN) необходимо связать с администратором, чтобы предоставить ему доступ к базе данных.

Процесс настройки

Для того чтобы настроить систему для применения смарт-карт и сертификатов Transport Layer Security (TLS), выполните следующие действия:
  1. Настройте пользователей.

    Перед включением на сервере идентификации с помощью карт необходимо настроить пользователей смарт-карт. Настройка пользователя предусматривает его связывание с отличительным именем.

  2. Свяжите отличительное имя с администратором.

    Отличительное имя (DN) необходимо связать с администратором, чтобы предоставить ему доступ к базе данных.

  3. Включите идентификацию на основе смарт-карт на сервере базы данных.
  4. Включите идентификацию на основе смарт-карт в клиенте.

Дальнейшие действия

Настройте пользователей. В случае применения идентификации инфраструктуры общих ключей (PKI) выполните инструкции из раздела Настройка идентификации пользователей PKI. В случае применения идентификации хранилища сертификатов Microsoft (MCS) выполните инструкции из раздела Настройка идентификации пользователей MCS.

Комментарии