客户机将证书发送到服务器以进行验证,而服务器将证书发送到客户机以进行验证。验证由密钥库执行。客户机密钥库验证服务器证书,而服务器密钥库验证客户机证书。
证书可按照树结构进行组织,根证书位于树的顶部。树中的所有证书都继承根证书的可信度。密钥库可分别验证每个证书。如果密钥库验证根证书,那么也将验证每个证书。
缺省情况下,Rational DOORS 安装时将同时安装 IBM® GSKit 提供的 TLS 证书以及已准备就绪可供使用的两个密钥库。
这些密钥库位于 certdb 文件夹中。客户机密钥库为 client_authentication.kdb,服务器密钥库为 server_authentication.kdb。
client_authentication.kdb 密钥库包含由客户机发送到服务器的名为 IBM_CL1 的证书,server_authentication.kdb 密钥库包含由服务器发送到客户机的名为 IBM_SV1 的证书。IBM_SV1 证书包含服务器运行所在的计算机的名称。缺省情况下,该名称为 IBMEDSERV。
客户机密钥库还包含服务器证书所在树的根证书,由客户机密钥库用于验证服务器证书。例如,client_authentication.kdb 密钥库包含了 IBM_SV1 证书所在树的根证书,并使用该根证书来验证 IBM_SV1。服务器密钥库包含客户机证书所在树的根证书,并将其用于验证客户机证书。
您可以更改缺省设置并根据规范设置您的系统。要指定自己的设置,请运行命令行开关以指定不同密钥库、证书名称或服务器名称。例如,可将 IBM_SV1 更改为不同证书名称,或将 IBMEDSERV 更改为不同服务器名称。
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales
在为服务器启用卡认证之前,必须设置智能卡用户。通过将用户与专有名称关联来设置该用户。
必须将专有名称 (DN) 与管理员用户关联,这样管理员用户才能访问数据库。