TLS-Zertifikate stellen eine sichere Kommunikation zwischen dem Rational DOORS-Server und dem Rational DOORS-Client bereit.
Der Client sendet ein Zertifikat an den Server zur Überprüfung und der Server sendet ein Zertifikat zum Client zur Überprüfung.
Die Überprüfung erfolgt über Keystores. Ein Client-Keystore überprüft das Serverzertifikat und ein Server-Keystore überprüft das Clientzertifikat.
Zertifikate werden mit einer Baumstruktur verwaltet. Das Stammzertifikat befindet sich in der Baumstruktur ganz oben. Alle Zertifikate in der Baumstruktur übernehmen die Vertrauenswürdigkeit des Stammzertifikats. Keystores können jedes Zertifikat einzeln überprüfen. Wenn der Keystore das Stammzertifikat überprüft, werden auch alle anderen Zertifikate überprüft.
Standardmäßig wird Rational DOORS mit sofort verwendbaren TLS-Zertifikaten installiert, die von IBM® GSKIT und zwei Keystores bereitgestellt werden.
Die Keystores befinden sich im Ordner certdb. Der Client-Keystore heißtclient_authentication.kdb und der Server-Keystore server_authentication.kdb.
Der Keystoreclient_authentication.kdb enthält ein Zertifikat, das der Client an den Server IBM_CL1 senden kann. Der Keystore server_authentication.kdb enthält das Zertifikat IBM_SV1, das der Server zum Client senden kann. IBM_SV1 enthält den Namen der Maschine, auf der der Server ausgeführt wird. Dies ist standardmäßig IBMEDSERV.
Der Client-Keystore enthält außerdem das Stammzertifikat der Baumstruktur, in der das Serverzertifikat enthalten ist. Mit diesem Stammzertifikat überprüft der Client-Keystore das Serverzertifikat. Beispiel: client_authentication.kdb enthält das Stammzertifikat der Baumstruktur, in der das Zertifikat IBM_SV1 enthalten ist, und verwendet das Stammzertifikat zur Überprüfung von IBM_SV1. Der Server-Keystore enthält das Stammzertifikat der Baumstruktur, in der das Clientzertifikat enthalten ist, und verwendet dieses zur Überprüfung des Clientzertifikats.
Wenn Sie den Rational DOORS-Server ohne Änderung der Standardeinstellungen starten, werden dieser Server-Keystore und die Zertifikatskonfiguration standardmäßig verwendet, und alleRational DOORS-Clients stellen eine sichere Verbindung zum Server her.
Sie können die Standardeinstellungen ändern und für Ihr System eigene Spezifikationen festlegen. Dazu führen Sie die Befehlszeilenschalter aus, mit denen Sie einen anderen Keystore, Zertifikatsnamen o der Servernamen angeben können. Sie können z. B. IBM_SV1 zu einem anderen Zertifikatsnamen oder IBMEDSERV zu einem anderen Servernamen ändern.
Wenn Sie Chipkarten verwenden, befindet sich das Clientzertifikat nicht auf dem Rational DOORS-Client selbst. Das Clientzertifikat befindet sich mit dem Distinguished Name (DN) auf der Chipkarte, die dem Benutzer zugeordnet ist. Das Zertifikat auf der Chipkarte wird durch die Zertifikatsbezeichnung identifiziert. Der Benutzer wird durch einen DN identifiziert. Der DN besteht aus den Paaren 'Attribut=Wert', die durch Kommas getrennt werden. Beispiel:
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales