Chipkarte und TLS-Zertifikate

TLS-Zertifikate (Transport Layer Security) stellen eine sichere, verschlüsselte Kommunikation zwischen Rational® DOORS®-Server und dem Rational DOORS-Client bereit. Wenn Benutzer sich mit einer Chipkarte bei Rational DOORS anmelden, werden TLS-Zertifikate verwendet.

TLS-Zertifikate und Keystores

Der Client sendet ein Zertifikat an den Server zur Überprüfung und der Server sendet ein Zertifikat zum Client zur Überprüfung. Die Überprüfung erfolgt über Keystores. Ein Client-Keystore überprüft das Serverzertifikat und ein Server-Keystore überprüft das Clientzertifikat.

Zertifikate werden mit einer Baumstruktur verwaltet. Das Stammzertifikat befindet sich in der Baumstruktur ganz oben. Alle Zertifikate in der Baumstruktur übernehmen die Vertrauenswürdigkeit des Stammzertifikats. Keystores können jedes Zertifikat einzeln überprüfen. Wenn der Keystore das Stammzertifikat überprüft, werden auch alle anderen Zertifikate überprüft.

Standardmäßig wird Rational DOORS mit sofort verwendbaren TLS-Zertifikaten installiert, die von IBM® GSKit und zwei Keystores bereitgestellt werden.

Die Keystores befinden sich im Ordner certdb. Der Client-Keystore ist client_authentication.kdb und der Server-Keystore ist server_authentication.kdb.

Der Keystoreclient_authentication.kdb enthält ein Zertifikat, das der Client an den Server IBM_CL1 senden kann. Der Keystore server_authentication.kdb enthält das Zertifikat IBM_SV1, das der Server zum Client senden kann. Das Zertifikat IBM_SV1 enthält den Namen des Computers, auf dem der Server ausgeführt wird. Der Name lautet standardmäßig IBMEDSERV.

Der Client-Keystore enthält außerdem das Stammzertifikat der Baumstruktur, in der das Serverzertifikat enthalten ist. Mit diesem Stammzertifikat überprüft der Client-Keystore das Serverzertifikat. Beispiel: Der Keystore client_authentication.kdb enthält das Stammzertifikat der Baumstruktur, in der das Zertifikat IBM_SV1 enthalten ist, und verwendet das Stammzertifikat zur Überprüfung von IBM_SV1. Der Server-Keystore enthält das Stammzertifikat der Baumstruktur, in der das Clientzertifikat enthalten ist, und verwendet dieses zur Überprüfung des Clientzertifikats.

Wenn Sie den Rational DOORS-Server im sicheren Modus starten, stellen alle Rational DOORS-Clients eine sichere Verbindung zum Server her. Wenn Sie keine Befehlszeilenoptionen angeben, werden diese Standardeinstellungen verwendet:
  • server_authentication.kdb ist der Name des Server-Keystores.
  • IBM_SV1 ist der Name des Zertifikats.
  • IBMEDSERV ist der Name des Servers.

Sie können die Standardeinstellungen ändern und für Ihr System eigene Spezifikationen festlegen. Um Ihre eigenen Einstellungen anzugeben, führen Sie Befehlszeilenoptionen aus, um einen anderen Keystore, Zertifikatsnamen oder Servernamen festzulegen. Sie können z. B. IBM_SV1 zu einem anderen Zertifikatsnamen oder IBMEDSERV zu einem anderen Servernamen ändern.

Chipkartenzertifikate und Distinguished Names

Wenn Sie Chipkarten verwenden, befindet sich das Clientzertifikat nicht auf dem Rational DOORS-Client. Stattdessen befindet sich das Clientzertifikat mit dem Distinguished Name (DN) auf der Chipkarte, die dem Benutzer zugeordnet ist. Das Zertifikat auf der Chipkarte wird durch die Zertifikatsbezeichnung identifiziert. Der Benutzer wird durch einen DN identifiziert. Der DN besteht aus den Paaren 'Attribut=Wert', die durch Kommas getrennt werden:
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

Keystore-Zertifikate

Wenn Sie Clientzertifikate verwenden, befindet sich das Zertifikat mit dem Distinguished Name (DN) im Keystore, der dem Benutzer zugeordnet ist. Das Keystore-Zertifikat wird durch die Zertifikatsbezeichnung und der Benutzer durch den DN identifiziert. Der DN besteht aus den Paaren 'Attribut=Wert', die durch Kommas getrennt werden:
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

Distinguished Names und der Administratorbenutzeraccount

Der Administratorbenutzeraccount umgeht alle Prüfungen auf Zugriffsberechtigung und wird nur verwendet, wenn es unbedingt erforderlich ist, beispielsweise, wenn sich keine anderen Benutzer anmelden können oder wenn andere Benutzer nicht auf Bereiche der Datenbank zugreifen können. Wenn Sie Chipkarten und Zertifikate verwenden, müssen Sie dem Benutzer mit Administratorberechtigung einen Distinguished Name (DN) zuweisen, damit der Benutzer mit Administratorberechtigung auf die Datenbank zugreifen kann.

Konfigurationsprozess

So richten Sie Chipkarten und TLS-Zertifikate (Transport Layer Security) ein:
  1. Richten Sie Benutzer ein.

    Bevor Sie eine Kartenauthentifizierung für einen Server aktivieren können, müssen Sie Chipkartenbenutzer einrichten. Sie richten einen Benutzer ein, indem Sie dem Benutzer einen Distinguished Name zuweisen.

  2. Weisen Sie dem Benutzer mit Administratorberechtigung einen Distinguished Name zu.

    Sie müssen einem Benutzer mit Administratorberechtigung einen Distinguished Name (DN) zuweisen, sodass der Benutzer mit Administratorberechtigung auf die Datenbank zugreifen kann.

  3. Aktivieren Sie die Chipkartenauthentifizierung im Datenbankserver.
  4. Aktivieren Sie die Chipkartenauthentifizierung im Client.

Nächste Schritte

Richten Sie Benutzer ein. Wenn Sie die PKI-Authentifizierung (Public Key Infrastructure) verwenden, befolgen Sie die Anweisungen unter PKI-Infrastrukturbenutzer einrichten. Wenn Sie die MCS-Authentifizierung (Microsoft Certificate Store) verwenden, befolgen Sie die Anweisungen unter MCS-Authentifizierungsbenutzer einrichten.

Feedback