Идентификация пользователей Windows и сертификаты TLS

Сертификаты TLS обеспечивают безопасное взаимодействие между сервером Rational DOORS и клиентом Rational DOORS. Для входа в Rational DOORS с помощью идентификации Windows применяются сертификаты TLS.

Сертификаты и хранилища ключей TLS

Сертификаты TLS обеспечивают безопасное взаимодействие между сервером Rational DOORS и клиентом Rational DOORS.

Клиент отправляет сертификат серверу для проверки, а сервер отправляет сертификат клиенту.

Проверка выполняется хранилищами ключей. Хранилище ключей клиента проверяет сертификат сервера, а хранилище ключей сервера проверяет сертификат клиента.

Сертификаты образуют иерархическую структуру, на верхнем уровне которой расположен корневой сертификат. Все сертификаты в дереве наследуют уровень доверия корневого сертификата. Хранилища ключей могут проверять каждый сертификат отдельно. Если хранилище ключей успешно проверяет корневой сертификат, то все остальные сертификаты остальные сертификаты также проходят проверку.

По умолчанию вместе с продуктом Rational DOORS устанавливаются сертификаты TLS из IBM® GSKIT и два готовые к использованию хранилища ключей.

Хранилища ключей расположены в папке certdb. Хранилище ключей клиента: client_authentication.kdb, хранилище ключей сервера: server_authentication.kdb.

Хранилище ключей client_authentication.kdb содержит сертификат IBM_CL1, который клиент может отправить серверу, а хранилище ключей server_authentication.kdb содержит сертификат IBM_SV1, который сервер может отправить клиенту. IBM_SV1 содержит имя системы, в которой выполняется сервер. Значение по умолчанию: IBMEDSERV.

Кроме того, хранилище ключей клиента содержит корневой сертификат иерархической структуры, в состав которой входит сертификат сервера. В результате хранилище ключей клиента может проверять сертификат сервера. Например, client_authentication.kdb содержит корневой сертификат дерева, которое содержит IBM_SV1, и использует его для проверки IBM_SV1. Хранилище ключей сервера содержит корневой сертификат иерархической структуры, содержащей сертификат клиента; он применяется для проверки сертификата клиента.

Если запустить Rational DOORS без изменения параметров по умолчанию, то все клиенты Rational DOORS устанавливают защищенные соединения с сервером.

Параметры по умолчанию можно изменить, чтобы настроить систему с учетом конкретных спецификаций. Для этой цели укажите другое хранилище ключей, имя сертификата или имя сервера с помощью параметров командной строки. Например, вместо IBM_SV1 и IBMEDSERV можно указать другие значения.

Сертификаты смарт-карт

В случае применения смарт-карт сертификат клиента не доступен на клиенте Rational DOORS. Сертификат расположен на смарт-карте вместе с отличительным именем (DN) пользователя. Роль идентификатора сертификата смарт-карты выполняет метка сертификата. В качестве идентификатора пользователя применяется DN. DN состоит из пар атрибут=значение, перечисленных через запятую; пример:

CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

Комментарии