스마트 카드 및 TLS 인증서

TLS(Transport Layer Security) 인증서는 Rational® DOORS® 서버와 Rational DOORS 클라이언트 간에 암호화된 보안 통신을 제공합니다. 사용자가 스마트 카드를 사용하여 Rational DOORS에 로그온하는 경우 TLS 인증서가 사용됩니다.

TLS 인증서 및 키 저장소

클라이언트가 유효성 검증할 서버에 인증서를 전송하고 서버는 유효성 검증할 클라이언트에 인증서를 전송합니다. 키 저장소를 사용하여 유효성 검증이 수행됩니다. 클라이언트 키 저장소는 서버 인증서를 유효성 검증하고, 서버 키 저장소는 클라이언트 인증서를 유효성 검증합니다.

인증서는 트리 맨 위에 루트 인증서가 있는 트리 구조로 구성될 수 있습니다. 트리의 모든 인증서는 루트 인증서의 신뢰성을 상속합니다. 키 저장소는 인증서 각각을 유효성 검증할 수 있습니다. 키 저장소가 루트 인증서를 유효성 검증하면 각 인증서도 유효성 검증됩니다.

기본적으로 Rational DOORS는 IBM® GSKit에서 제공된 TLS 인증서와 사용할 준비가 되어 있는 두 개의 키 저장소를 사용하여 설치됩니다.

키 저장소는 certdb 폴더에 있습니다. 클라이언트 키 저장소는 client_authentication.kdb이며, 서버 키 저장소는 server_authentication.kdb입니다.

client_authentication.kdb 키 저장소에는 클라이언트가 서버에 보낼 수 있는 IBM_CL1 인증서가 들어 있으며, server_authentication.kdb 키 저장소에는 서버가 클라이언트에 보낼 수 있는 IBM_SV1 인증서가 들어 있습니다. IBM_SV1 인증서에는 서버가 실행 중인 컴퓨터의 이름이 포함됩니다. 기본적으로 이름은 IBMEDSERV입니다.

또한 클라이언트 키 저장소에는 클라이언트 키 저장소가 서버 키 저장소를 유효성 검증하는 데 사용하는, 서버 인증서가 포함된 트리의 루트 인증서가 들어 있습니다. 예를 들어 client_authentication.kdb 키 저장소에는 IBM_SV1 인증서를 포함하는 트리의 루트 인증서가 들어 있으며 이 키 저장소는 루트 인증서를 사용하여 IBM_SV1을 유효성 검증합니다. 서버 키 저장소는 클라이언트 인증서가 있는 트리의 루트 인증서를 포함하며 이 루트 인증서를 사용하여 클라이언트 인증서를 유효성 검증합니다.

Rational DOORS 서버를 보안 모드로 시작하는 경우 모든 Rational DOORS 클라이언트는 서버와 보안 연결을 작성합니다. 명령행 스위치를 지정하지 않은 경우 이 기본 설정이 사용됩니다.
  • server_authentication.kdb는 서버 키 저장소의 이름입니다.
  • IBM_SV1은 인증서의 이름입니다.
  • IBMEDSERV는 서버의 이름입니다.

사용자 스펙에 따라 기본 설정을 변경하여 시스템을 설정할 수 있습니다. 설정을 지정하려면 명령행 스위치를 실행하여 다른 키 저장소, 인증서 이름 또는 서버 이름을 지정하십시오. 예를 들어 IBM_SV1을 다른 인증서 이름으로 변경하거나 IBMEDSERV를 다른 서버 이름으로 변경할 수 있습니다.

스마트 카드 인증서 및 식별 이름

스마트 카드를 사용하는 경우에는 클라이언트 인증서가 Rational DOORS 클라이언트에 없습니다. 대신 클라이언트 인증서는 사용자와 연관된 식별 이름(DN)과 함께 스마트 카드에 있습니다. 스마트 카드에 있는 인증서는 인증서 레이블로 식별됩니다. 사용자는 DN으로 식별됩니다. DN은 쉼표로 구분되는 attribute=value 쌍으로 구성됩니다.
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

키 저장소 인증서

키 저장소 인증서를 사용하는 경우 이 인증서는 사용자와 연관된 식별 이름(DN)과 함께 키 저장소에 있습니다. 키 저장소 인증서는 인증서 레이블로 식별되고 사용자는 DN으로 식별됩니다. DN은 쉼표로 구분되는 attribute=value 쌍으로 구성됩니다.
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

식별 이름 및 관리자

관리자는 긴급한 상황에서 사용하는 특수한 사용자입니다. 예를 들어 어떤 사용자도 로그인할 수 없거나 다른 사용자가 데이터베이스의 일부를 액세스할 수 없는 경우에 관리자를 사용할 수 있습니다. 스마트 카드 및 인증서를 사용하는 경우 관리자가 데이터베이스를 액세스할 수 있도록 관리자에 식별 이름(DN)을 연관시켜야 합니다.

구성 프로세스

스마트 카드 및 TLS(Transport Layer Security) 인증서를 사용하도록 시스템을 설정하려면 다음을 수행하십시오.
  1. 사용자를 설정합니다.

    서버에 대해 카드 인증을 사용하려면 먼저 스마트 카드 사용자를 설정해야 합니다. 사용자를 식별 이름과 연관시켜 사용자를 설정합니다.

  2. 관리자에 식별 이름을 연관시킵니다.

    관리자가 데이터베이스를 액세스할 수 있도록 관리자에 식별 이름(DN)을 연관시켜야 합니다.

  3. 데이터베이스 서버에서 스마트 카드 인증을 사용하도록 지정합니다.
  4. 클라이언트에서 스마트 카드 인증을 사용하도록 지정합니다.

다음에 수행할 작업

사용자를 설정합니다. PKI(Public Key Infrastructure) 인증을 사용하는 경우 PKI 인증 사용자 설정의 지시사항을 따르십시오. MCS(Microsoft Certificate Store) 인증을 사용하는 경우 MCS 인증 사용자 설정의 지시사항을 따르십시오.

피드백