智能卡和 TLS 证书

传输层安全性 (TLS) 证书提供了 Rational® DOORS® 服务器与 Rational DOORS 客户机之间的安全加密通信。在用户使用智能卡登录到 Rational DOORS 时,将使用 TLS 证书。

TLS 证书和密钥库

客户机将证书发送到服务器以进行验证,而服务器将证书发送到客户机以进行验证。验证由密钥库执行。客户机密钥库验证服务器证书,而服务器密钥库验证客户机证书。

证书可按照树结构进行组织,根证书位于树的顶部。树中的所有证书都继承根证书的可信度。密钥库可分别验证每个证书。如果密钥库验证根证书,那么也将验证每个证书。

缺省情况下,Rational DOORS 安装时随附 IBM® GSKIT 提供的 TLS 证书,并且两个密钥库已准备就绪可供使用。

这些密钥库位于 certdb 文件夹中。客户机密钥库为 client_authentication.kdb,服务器密钥库为 server_authentication.kdb

client_authentication.kdb 密钥库包含由客户机发送到服务器的名为 IBM_CL1 的证书,server_authentication.kdb 密钥库包含由服务器发送到客户机的名为 IBM_SV1 的证书。IBM_SV1 证书包含服务器运行所在的计算机的名称。缺省情况下,该名称为 IBMEDSERV

客户机密钥库还包含服务器证书所在树的根证书,由客户机密钥库用于验证服务器证书。例如,client_authentication.kdb 密钥库包含了 IBM_SV1 证书所在树的根证书,并使用该根证书来验证 IBM_SV1。服务器密钥库包含客户机证书所在树的根证书,并将其用于验证客户机证书。

如果以安全方式启动 Rational DOORS 服务器,所有 Rational DOORS 客户机都将与服务器进行安全连接。如果不指定命令行开关,将使用以下缺省设置:
  • server_authentication.kdb 是服务器密钥库的名称
  • IBM_SV1 是证书的名称
  • IBMEDSERV 是服务器的名称

您可以更改缺省设置并根据规范设置您的系统。要指定自己的设置,请运行命令行开关以指定不同密钥库、证书名称或服务器名称。例如,可将 IBM_SV1 更改为不同证书名称,或将 IBMEDSERV 更改为不同服务器名称。

智能卡证书和专有名称

在使用智能卡时,客户机证书不在 Rational DOORS 客户机上。相反,客户机证书位于智能卡上,与用户关联的专有名称 (DN) 也同样位于智能卡上。智能卡上的证书通过证书标签进行标识。用户通过 DN 进行标识。DN 由以逗号分隔的“属性=值”对组成。
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

密钥库证书

使用密钥库证书时,证书位于密钥库中,与用户关联的专有名称 (DN) 也同样位于密钥库中。密钥库证书通过证书标签进行标识,而用户通过 DN 进行标识。DN 由以逗号分隔的“属性=值”对组成。
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

专有名称和管理员用户

管理员用户是您在紧急情况下使用的特殊用户。例如,如果其他用户都无法登录,或者其他用户无法访问数据库的某个部分时,您可以使用管理员用户。如果要使用智能卡和证书,必须将专有名称 (DN) 与管理员用户关联,这样管理员用户才能访问数据库。

配置过程

要设置系统以使用智能卡和传输层安全性 (TLS) 证书:
  1. 设置用户。

    在为服务器启用卡认证之前,必须设置智能卡用户。通过将用户与专有名称关联来设置该用户。

  2. 将专有名称与管理员用户关联。

    必须将专有名称 (DN) 与管理员用户关联,这样管理员用户才能访问数据库。

  3. 启用数据库服务器中的智能卡认证。
  4. 启用客户机中的智能卡认证。

下一步的操作

设置用户。如果要使用公共密钥基础结构 (PKI) 认证,请遵循设置 PKI 认证用户中的指示信息。如果要使用 Microsoft 证书库 (MCS) 认证,请遵循设置 MCS 认证用户中的指示信息。

反馈