バージョン 9.6.0.1 以降では、Public Key Infrastructure (PKI) 証明書失効リスト (CRL) を使用してユーザー・アクセスを管理するように、IBM® Rational® DOORS® Web Access を構成することができます。
このタスクについて
CRL は、失効した証明書を識別するタイム・スタンプ・リストを含む署名付きデータ構造です。
失効した証明書は、認証用にトラステッドではなくなります。
一般に、CRL は、ユーザーの雇用状況または業務が変更された場合、あるいはユーザーの証明書または対応する秘密鍵が漏えいした場合に、アクセスを妨害します。
クライアント証明書および CRL は、以下の条件を満たしていなければなりません。
- 認証局 (CA) は、クライアント認証要求に署名し、拡張情報 (URL から CRL ファイルなど) を組み込む必要があります。
クライアント証明書に有効な CRL 拡張詳細が含まれていない場合、証明書は拒否されます。
- CRL の有効期限が切れた場合、Apache Tomcat は、サービスに対する接続を拒否します。
- 有効期限が切れていない、古い CRL ファイルがロードされている場合、失効した証明書を持つ新しい CRL はロードされません。
- 失効した証明書が、まだロードされていない新しい CRL ファイルにリストされている場合、失効リスト上のユーザーは引き続きアプリケーションにアクセスできます。
注: Rational DOORS Web Access では、CRL に関して DER (バイナリー) と PEM (ベース 64) の両方のフォーマットがサポートされます。
Rational DOORS では、DER フォーマットのみがサポートされます。
CRL をサポートするように Rational DOORS Web Access を構成するには、Apache Tomcat サーバーの始動に使用されるスクリプトを変更します。