Le client envoie un certificat au serveur pour validation et le serveur envoie un certificat au client pour validation. La validation s'effectue par le biais des fichiers de clés. Un fichier de clés du client valide le certificat du serveur et un fichier de clés du serveur valide le certificat du client.
Les certificats peuvent être organisés dans une structure arborescente, le certificat racine se trouvant au sommet. Tous les certificats dans l'arborescence héritent de la fiabilité du certificat racine. Les fichiers de clés peuvent valider chaque certificat individuellement. Si le fichier de clés valide le certificat racine, chaque certificat est également validé.
Par défaut, Rational DOORS est installé avec les certificats TLS fournis par IBM® GSKit et deux fichiers de clés prêts à être utilisés.
Les fichiers de clés se trouvent dans le dossier certdb. Le fichier de clés du client est client_authentication.kdb et le fichier de clés du serveur server_authentication.kdb.
Le fichier de clés client_authentication.kdb contient un certificat que le client peut envoyer au serveur appelé IBM_CL1, et le fichier de clés server_authentication.kdb contient un certificat appelé IBM_SV1 que le serveur peut envoyer au client. Le certificat IBM_SV1 contient le nom de l'ordinateur sur lequel s'exécute le serveur. Par défaut, le nom est IBMEDSERV.
Le fichier de clés du client contient également le certificat racine de l'arborescence qui contient le certificat du serveur que le fichier de clés du client utilise pour valider le certificat du serveur. Par exemple, le fichier de clés client_authentication.kdb contient le certificat racine de l'arborescence qui contient le certificat IBM_SV1 et utilise le certificat racine pour valider IBM_SV1. Le fichier de clés du serveur contient le certificat racine de l'arborescence qui contient le certificat du client, et l'utilise pour valider le certificat du client.
Vous pouvez modifier les paramètres par défaut et configurer le système en fonction de vos spécifications. Pour spécifier vos propres paramètres, exécutez les commutateurs de ligne de commande pour spécifier un fichier de clés, nom de certificat ou nom de serveur différent. Par exemple, vous pouvez remplacer IBM_SV1 par un nom de certificat différent ou IBMEDSERV par un nom de serveur différent.
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales
Avant d'activer l'authentification par carte pour un serveur, vous devez configurer les utilisateurs de carte à puce. Vous configurez un utilisateur en l'associant à un nom distinctif.
Vous devez associer un nom distinctif à l'utilisateur administrateur pour permettre à ce dernier d'accéder à la base de données.