Dans la version 9.6.0.1 et les versions ultérieures, vous pouvez configurerIBM® Rational DOORS Web Access pour qu'il utilise des listes de retrait de certificat (CRL) d'infrastructure à clés publiques (PKI) pour la gestion des accès utilisateur.
Avant de commencer
Pour utiliser des CRL, les administrateurs doivent configurer
IBM Rational DOORS et
Rational
DOORS Web Access pour activer la prise en charge de l'infrastructure PKI
et la conformité du chiffrement.
Pourquoi et quand exécuter cette tâche
Une liste de révocation de certificat est une structure de données signée contenant une liste horodatée qui identifie
des certificats révoqués. Les certificats révoqués ne sont plus dignes de confiance pour l'authentification.
Généralement, les listes de révocation de certificat bloquent l'accès lorsque le statut d'emploi ou l'affectation d'un utilisateur change ou lorsque le certificat d'un utilisateur ou de la clé privée correspondante est compromis.
Les certificats client et les listes de révocation de certificat doivent remplir les conditions suivantes :
- Une autorité de certification doit signer la demande de certificat client et intégrer des informations étendues telles
que l'URL du fichier CRL. Si le certificat client
ne contient pas de détails d'extension de liste de révocation de certificat valides, le certificat est rejeté.
- Si la liste de révocation de certificat est arrivée à expiration, Apache Tomcat refuse les connexions au service.
- Si un ancien fichier de liste de révocation de certificat (CRL) qui n'est pas arrivé à expiration est chargé, la nouvelle liste de révocation de certificat comportant les certificats révoqués n'est pas chargée.
- Si un certificat révoqué est répertorié dans un nouveau fichier de liste CRL qui n'a pas encore été chargé,
les utilisateurs de la liste de révocation peuvent toujours accéder à l'application.
Remarque : Rational DOORS Web Access prend en charge les formats DER (binaire) et PEM (base-64) pour les listes
CRL. Rational DOORS prend uniquement en charge le format DER.
Procédure
Pour configurer Rational DOORS Web Access pour qu'il prenne en charge les listes CRL, modifiez le script qui est
utilisé pour démarrer le serveur Apache Tomcat.
- Ouvrez le script de démarrage pour le serveur Apache Tomcat dans un éditeur.
- Sous Windows, le fichier script
server.start.bat se trouve dans le répertoire d'installation de Rational
DOORS Web Access ;
par exemple, C:\Program Files (x86)\IBM\Rational\DOORS
Web Access\9.version.
- Sous UNIX, le fichier script
server.start.sh se trouve dans le répertoire d'installation de Rational
DOORS Web Access.
- Définissez les propriétés système pour activer la prise en charge des listes de révocation de certificat.
Remarque : Le débogage SSL peut être activé en ajoutant la propriété système suivante :
-Djavax.net.debug=sslor
ou
-Djavax.net.debug=ssl,handshake
- Enregistrez et fermez le fichier script de démarrage.