Smart Cards e Certificados TLS

Os certificados da Segurança da Camada de Transporte (TLS) fornecem comunicação criptografada segura entre o servidor Rational DOORS e o cliente Rational DOORS. Quando usuários efetuam logon no Rational DOORS usando um smart card, os certificados de TLS são usados.

Certificados TLS e Keystores

O cliente envia um certificado para o servidor validar e o servidor envia um certificado para o cliente validar. A validação é efetuada pelos keystores. Um keystore do cliente valida o certificado do servidor e um keystore do servidor valida o certificado de cliente.

Os certificados podem ser organizados em uma estrutura em árvore, com um certificado raiz na parte superior da árvore. Todos os certificados na árvore herdam a fidelidade do certificado raiz. Os keystores podem validar cada certificado individualmente. Se o keystore validar o certificado raiz, cada certificado também será validado.

Por padrão, o Rational DOORS é instalado com certificados de TLS que são fornecidos pelo IBM® GSKIT e dois keystores que estão prontos para uso.

Os keystores estão na pasta certdb. O keystore do cliente é client_authentication.kdb e o keystore do servidor é server_authentication.kdb.

O keystore client_authentication.kdb contém um certificado que o cliente pode enviar para o servidor chamado IBM_CL1 e o keystore server_authentication.kdb contém um certificado chamado IBM_SV1 que o servidor pode enviar ao cliente. O certificado IBM_SV1 contém o nome do computador no qual o servidor está em execução. Por padrão, o nome é IBMEDSERV.

O keystore do cliente também contém o certificado raiz da árvore que contém o certificado do servidor, que o keystore do cliente usa para validar o certificado do servidor. Por exemplo, o keystore client_authentication.kdb contém o certificado raiz da árvore que contém o certificado IBM_SV1 e usa o certificado raiz para validar o IBM_SV1. O keystore do servidor contém o certificado raiz da árvore que contém o certificado de cliente e o usa para validar o certificado de cliente.

Se iniciar o servidor Rational DOORS no modo seguro, todos os clientes do Rational DOORS farão conexões seguras com o servidor. Se você não especificar comutadores de linha de comandos, estas configurações padrão serão usadas:
  • server_authentication.kdb é o nome do keystore do servidor
  • IBM_SV1 é o nome do certificado
  • IBMEDSERV é o nome do servidor

É possível alterar as configurações padrão e configurar seu sistema com suas especificações. Para especificar suas próprias configurações, execute comutadores de linha de comandos para especificar um keystore, um nome do certificado ou um nome do servidor diferente. Por exemplo, é possível alterar IBM_SV1 para um nome do certificado diferente ou alterar IBMEDSERV para um nome do servidor diferente.

Certificados e Nomes Distintos de Smart Card

Ao usar smart cards, o certificado de cliente não está no cliente Rational DOORS. Em vez disso, o certificado de cliente está no smart card, juntamente com o nome distinto (DN), o qual está associado ao usuário. O certificado no smart card é identificado por um rótulo de certificado. O usuário é identificado por um DN. O DN é formado de pares atributo=valor que são separados por vírgulas:
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

Certificados Keystore

Ao usar certificados keystore, o certificado está no keystore, juntamente com o nome distinto (DN), o qual está associado ao usuário. O certificado keystore é identificado por um rótulo do certificado e o usuário é identificado por um DN. O DN é formado de pares atributo=valor que são separados por vírgulas:
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

Nomes Distintos e o Usuário Administrador

O usuário administrador é um usuário especial usado em emergências. Por exemplo, você pode usar o usuário administrador se nenhum outro usuário puder efetuar login ou se outros usuários não puderem acessar parte do banco de dados. Quando estiver usando smart cards e certificados, você deverá associar um nome distinto (DN) ao usuário administrador para que o usuário administrador possa acessar o banco de dados.

Processo de Configuração

Para configurar seu sistema para usar smart cards e certificados de Segurança da Camada de Transporte (TLS):
  1. Configure os usuários.

    Antes de ativar a autenticação de placa para um servidor, você deve configurar usuários do smart card. Um usuário é configurado associando o usuário a um nome distinto.

  2. Associe um nome distinto ao usuário administrador.

    Você deve associar um nome distinto (DN) ao usuário administrador para permitir que o usuário administrador acesse o banco de dados.

  3. Ative a autenticação do smart card no servidor de banco de dados.
  4. Ative a autenticação do smart card no cliente.

O que Fazer em Seguida

Configure os usuários. Se você estiver usando a autenticação de infraestrutura de chave pública (PKI), siga as instruções em Configurando Usuários de Autenticação de PKI. Se estiver usando a autenticação Microsoft Certificate Store (MCS), siga as instruções em Configurando Usuários de Autenticação do MCS.

Feedback