El cliente envía un certificado al servidor para validarlo, y el servidor envía un certificado al cliente para validarlo. La validación se lleva a cabo mediante los almacenes de claves. Un almacén de claves de cliente valida el certificado del servidor, y un almacén de claves del servidor valida el certificado de cliente.
Los certificados se pueden organizar en una estructura de árbol, con un certificado raíz en la parte superior del árbol. Todos los certificados del árbol heredan la integridad del certificado raíz. Los almacenes de claves pueden validar cada certificado individualmente. Si el almacén de claves valida el certificado raíz, cada certificado también se valida.
De forma predeterminada, Rational DOORS se instala con certificados TLS proporcionados por IBM® GSKit, y dos almacenes de claves listas para utilizarse.
Los almacenes de claves se encuentran en la carpeta certdb. El almacén de claves del cliente es client_authentication.kdb, y el almacén de claves del servidor es server_authentication.kdb.
El almacén de claves client_authentication.kdb contiene un certificado que el cliente puede enviar al servidor denominado IBM_CL1, y el almacén de claves server_authentication.kdb contiene un certificado denominado IBM_SV1 que el servidor puede enviar al cliente. El certificado IBM_SV1 contiene el nombre del sistema en el que se ejecuta el servidor. De forma predeterminada, el nombre es IBMEDSERV.
El almacén de claves del cliente también contiene el certificado raíz del árbol que contiene el certificado del servidor, que el almacén de claves del cliente utiliza para validar el certificado de servidor. Por ejemplo, el almacén de claves client_authentication.kdb contiene el certificado raíz del árbol que contiene el certificado IBM_SV1, y utiliza el certificado raíz para validar IBM_SV1. El almacén de claves del servidor contiene el certificado raíz del árbol que contiene el certificado cliente, y lo utiliza para validar el certificado cliente.
Puede cambiar los valores predeterminados y configurar el sistema a las especificaciones. Para especificar sus propios valores, ejecute los conmutadores de línea de mandatos para especificar otro almacén de claves, nombre de certificado o nombre de servidor. Por ejemplo, puede cambiar IBM_SV1 a otro nombre de certificado o cambiar IBMEDSERV a otro nombre de servidor.
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales
Antes de habilitar la autenticación de tarjeta para un servidor, debe configurar los usuarios de tarjetas inteligentes. Configure un usuario mediante la asociación del usuario con un nombre distinguido.
Debe asociar un nombre distinguido (DN) con el usuario administrador para permitir que el usuario administrador acceda a la base de datos.