O cliente envia um certificado para o servidor validar e o servidor envia um certificado para o cliente validar. A validação é efetuada pelos keystores. Um keystore do cliente valida o certificado do servidor e um keystore do servidor valida o certificado de cliente.
Os certificados podem ser organizados em uma estrutura em árvore, com um certificado raiz na parte superior da árvore. Todos os certificados na árvore herdam a fidelidade do certificado raiz. Os keystores podem validar cada certificado individualmente. Se o keystore validar o certificado raiz, cada certificado também será validado.
Por padrão, o Rational DOORS é instalado com certificados TLS que são fornecidos pelo IBM® GSKit e dois keystores que estão prontos para uso.
Os keystores estão na pasta certdb. O keystore do cliente é client_authentication.kdb e o keystore do servidor é server_authentication.kdb.
O keystore client_authentication.kdb contém um certificado que o cliente pode enviar para o servidor chamado IBM_CL1 e o keystore server_authentication.kdb contém um certificado chamado IBM_SV1 que o servidor pode enviar ao cliente. O certificado IBM_SV1 contém o nome do computador no qual o servidor está em execução. Por padrão, o nome é IBMEDSERV.
O keystore do cliente também contém o certificado raiz da árvore que contém o certificado do servidor, que o keystore do cliente usa para validar o certificado do servidor. Por exemplo, o keystore client_authentication.kdb contém o certificado raiz da árvore que contém o certificado IBM_SV1 e usa o certificado raiz para validar o IBM_SV1. O keystore do servidor contém o certificado raiz da árvore que contém o certificado de cliente e o usa para validar o certificado de cliente.
É possível alterar as configurações padrão e configurar seu sistema com suas especificações. Para especificar suas próprias configurações, execute comutadores de linha de comandos para especificar um keystore, um nome do certificado ou um nome do servidor diferente. Por exemplo, é possível alterar IBM_SV1 para um nome do certificado diferente ou alterar IBMEDSERV para um nome do servidor diferente.
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales
Antes de ativar a autenticação de placa para um servidor, você deve configurar usuários do cartão inteligente. Um usuário é configurado associando o usuário a um nome distinto.
Você deve associar um nome distinto (DN) ao usuário administrador para permitir que o usuário administrador acesse o banco de dados.