Клиент отправляет сертификат серверу для проверки, а сервер отправляет сертификат клиенту. Проверка выполняется хранилищами ключей. Хранилище ключей клиента проверяет сертификат сервера, а хранилище ключей сервера проверяет сертификат клиента.
Сертификаты образуют иерархическую структуру, на верхнем уровне которой расположен корневой сертификат. Все сертификаты в дереве наследуют уровень доверия корневого сертификата. Хранилища ключей могут проверять каждый сертификат отдельно. Если хранилище ключей успешно проверяет корневой сертификат, то все остальные сертификаты остальные сертификаты также проверяются.
По умолчанию вместе с продуктом Rational DOORS устанавливаются сертификаты TLS из IBM® GSKIT и два готовые к использованию хранилища ключей.
Хранилища ключей расположены в папке certdb. Хранилище ключей клиента: client_authentication.kdb, хранилище ключей сервера: server_authentication.kdb.
Хранилище ключей client_authentication.kdb содержит сертификат IBM_CL1, который клиент может отправить серверу, а хранилище ключей server_authentication.kdb содержит сертификат IBM_SV1, который сервер может отправить клиенту. Сертификат IBM_SV1 содержит имя системы, в которой работает сервер. Имя по умолчанию: IBMEDSERV.
Кроме того, хранилище ключей клиента содержит корневой сертификат иерархической структуры, в состав которой входит сертификат сервера, с помощью которого хранилище ключей клиента проверяет сертификат сервера. Например, хранилище ключей client_authentication.kdb содержит корневой сертификат дерева, которое содержит сертификат IBM_SV1, и использует этот корневой сертификат для проверки IBM_SV1. Хранилище ключей сервера содержит корневой сертификат иерархической структуры, содержащей сертификат клиента; он применяется для проверки сертификата клиента.
Параметры по умолчанию можно изменить, чтобы настроить систему с учетом конкретных спецификаций. При необходимости с помощью параметров командной строки можно указать другое хранилище ключей, имя сертификата или имя сервера. Например, вместо IBM_SV1 и IBMEDSERV можно указать другие значения.
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales
Перед включением на сервере идентификации с помощью карт необходимо настроить пользователей смарт-карт. Настройка пользователя предусматривает его связывание с отличительным именем.
Отличительное имя (DN) необходимо связать с администратором, чтобы предоставить ему доступ к базе данных.