Cartes à puce et certificats TLS

Les certificats TLS (Transport layer security) assurent la communication chiffrée sécurisée entre le serveur Rational DOORS et le client Rational DOORS. Lorsque les utilisateurs se connectent à Rational DOORS à l'aide d'une carte à puce, les certificats TLS sont utilisés.

Certificats TLS et fichiers de clés

Le client envoie un certificat au serveur pour validation et le serveur envoie un certificat au client pour validation. La validation s'effectue par le biais des fichiers de clés. Un fichier de clés du client valide le certificat du serveur et un fichier de clés du serveur valide le certificat du client.

Les certificats peuvent être organisés dans une structure arborescente, le certificat racine se trouvant au sommet. Tous les certificats dans l'arborescence héritent de la fiabilité du certificat racine. Les fichiers de clés peuvent valider chaque certificat individuellement. Si le fichier de clés valide le certificat racine, chaque certificat est également validé.

Par défaut, Rational DOORS est installé avec les certificats TLS fournis par IBM® GSKit et deux fichiers de clés prêts à être utilisés.

Les fichiers de clés se trouvent dans le dossier certdb. Le fichier de clés du client est client_authentication.kdb et le fichier de clés du serveur server_authentication.kdb.

Le fichier de clés client_authentication.kdb contient un certificat que le client peut envoyer au serveur appelé IBM_CL1, et le fichier de clés server_authentication.kdb contient un certificat appelé IBM_SV1 que le serveur peut envoyer au client. Le certificat IBM_SV1 contient le nom de l'ordinateur sur lequel s'exécute le serveur. Par défaut, le nom est IBMEDSERV.

Le fichier de clés du client contient également le certificat racine de l'arborescence qui contient le certificat du serveur que le fichier de clés du client utilise pour valider le certificat du serveur. Par exemple, le fichier de clés client_authentication.kdb contient le certificat racine de l'arborescence qui contient le certificat IBM_SV1 et utilise le certificat racine pour valider IBM_SV1. Le fichier de clés du serveur contient le certificat racine de l'arborescence qui contient le certificat du client, et l'utilise pour valider le certificat du client.

Si vous démarrez le serveur Rational DOORS en mode sécurisé, tous les clients Rational DOORS peuvent établir des connexions sécurisées au serveur. Si vous ne spécifiez pas de commutateurs de ligne de commande, les paramètres par défaut suivants sont utilisés :
  • server_authentication.kdb est le nom du fichier de clés du serveur
  • IBM_SV1 est le nom du certificat
  • IBMEDSERV est le nom du serveur

Vous pouvez modifier les paramètres par défaut et configurer le système en fonction de vos spécifications. Pour spécifier vos propres paramètres, exécutez les commutateurs de ligne de commande pour spécifier un fichier de clés, nom de certificat ou nom de serveur différent. Par exemple, vous pouvez remplacer IBM_SV1 par un nom de certificat différent ou IBMEDSERV par un nom de serveur différent.

Certificats et nom distinctif sur carte à puce

Lorsque vous utilisez des cartes à puce, le certificat du client ne se trouve pas sur le client Rational DOORS. En revanche, se trouve sur la carte à puce, tout comme le nom distinctif qui est associé à l'utilisateur. Le certificat qui se trouve sur la carte à puce est identifié par un label. L'utilisateur est identifié par un nom distinctif. Ce dernier est constitué de paires attribut=valeur, séparées par des virgules :
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

Certificats de fichier de clés

Lorsque vous utilisez des certificats de fichier de clés, le certificat se trouve dans le fichier de clés, ainsi que le nom distinctif qui est associé à l'utilisateur. Le certificat de fichier de clés est identifié par un label et l'utilisateur par un nom distinctif. Ce dernier est constitué de paires attribut=valeur, séparées par des virgules :
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

Noms distinctifs et utilisateur administrateur

L'utilisateur administrateur est un utilisateur spécifié employé en cas d'urgence. Par exemple, vous pouvez utiliser l'utilisateur administrateur si aucun autre utilisateur ne peut se connecter ou si les autres utilisateurs ne peuvent pas accéder à une partie de la base de données. Lorsque vous utilisez des cartes à puce et des certificats, vous devez associer un nom distinctif à l'utilisateur administrateur afin que ce dernier puisse accéder à la base de données.

Processus de configuration

Pour configurer le système de sorte qu'il utilise des cartes à puce et des certificats TLS (Transport Layer Security) :
  1. Configurez les utilisateurs.

    Avant d'activer l'authentification par carte pour un serveur, vous devez configurer les utilisateurs de carte à puce. Vous configurez un utilisateur en l'associant à un nom distinctif.

  2. Associez un nom distinctif à l'utilisateur administrateur.

    Vous devez associer un nom distinctif à l'utilisateur administrateur pour permettre à ce dernier d'accéder à la base de données.

  3. Activez l'authentification par carte à puce sur le serveur de base de données.
  4. Activez l'authentification par carte à puce sur le client.

Etapes suivantes

Configurez les utilisateurs. Si vous utilisez l'authentification PKI (public key infrastructure), suivez les instructions fournies dans Configuration des utilisateurs de l'authentification PKI. Si vous utilisez l'authentification CMS (Microsoft Certificate Store), suivez les instructions fournies dans Configuration des utilisateurs de l'authentification MCS.

Commentaires en retour