V9.6.0.1 : configuration de Rational DOORS pour prendre en charge les listes de retrait de certificat PKI

Dans la version 9.6.0.1 et versions ultérieures, vous pouvez configurer IBM® Rational DOORS pour utiliser des listes de retrait de certificat d'infrastructure à clés publiques (PKI) pour la gestion de l'accès utilisateur.

Avant de commencer

Pour utiliser les listes CRL, les administrateurs doivent configurer Rational DOORS pour activer la prise en charge de PKI et la conformité de chiffrement. Pour plus de détails, voir Configuration de cartes à puce et de certificats pour Rational DOORS

Pourquoi et quand exécuter cette tâche

Une liste de révocation de certificat est une structure de données signée qui contient une liste horodatée qui identifie les certificats révoqués. Les certificats révoqués ne sont plus sécurisés pour l'authentification. Généralement, les CRL bloquent l'accès lorsque le statut d'emploi ou l'affectation d'un utilisateur change, ou lorsque le certificat d'un utilisateur ou la clé privée correspondante est compromis.

Les certificats client et CRL doivent respecter les conditions suivantes :

Si les certificats PKI sont utilisés pour l'authentification d'utilisateur, vous pouvez configurer le serveur de base de données pour la prise en charge de CRL. Lorsque la prise en charge des CRL est activée, le serveur vérifie les certificats client lorsqu'un utilisateur tente de se connecter, pour vérifier que le certificat n'est pas révoqué.

Les administrateurs utilisent la commande dbadmin pour définir des options CRL pour le serveur. Le serveur envoie les paramètres CRL au journal serveur. Si des informations de diagnostic sur la CRL sont disponibles, le serveur consigne ces informations lorsqu'un certificat est validé.

Vous pouvez activez le client Rational DOORS pour exécuter une vérification de CRL sur le certificat du serveur lorsque vous ouvrez le client. Indiquez les options CRL avec la commande doors.exe sur la ligne de commande ou définissez les clés et les valeurs dans le registre. Les utilisateurs qui ont le droit d'afficher les propriétés de base de données dans le client peuvent examiner les options CRL qui sont utilisées par le serveur.

Si un certificat d'utilisateur révoqué est rejeté par le serveur, le client affiche ce message :
Le certificat d'utilisateur n'a pas été validé.
Voici quelques-unes des raisons possibles pour l'erreur :
1. Le serveur ne fait pas confiance à toute la chaîne de certificats
2. Le certificat d'utilisateur a été révoqué
3. La CRL du certificat d'utilisateur n'est pas disponible
DOORS va se fermer.
Le message suivant est publié dans le journal serveur :
received invalid socket: boost::exception_detail::clone_impl<class SecureCommsException>: GSKit SocInit failed: GSK_ERROR_BAD_CERT -- unable to validate the client certificate
- la chaîne de certificats peut ne pas être sécurisée
- le certificat est peut-être révoqué
- la CRL de certificat peut ne pas être disponible
Si un certificat de serveur révoqué est rejeté par le client, celui-ci affiche ce message :
Impossible de valider le certificat serveur. Le certificat serveur a été révoqué.DOORS va se fermer.

Le serveur utilise les paramètres d'option disponibles les plus récents pour valider un certificat. Si vous modifiez les options CRL, vous devez redémarrer le serveur pour appliquer les modifications.

Remarque : Rational DOORS ne prend en charge que le format DER pour les CRL. Rational DOORS Web Access prend en charge les formats DER (binaire) et PEM (base 64).

Procédure

  1. Utilisez ces interrupteurs de commande et paramètres dbadmin pour définir les options afin d'activer la prise en charge de CRL sur le serveur de base de données Rational DOORS. Pour plus de détails sur l'utilisation de la commande dbadmin, consultez la section Commutateurs de ligne de commande pour le serveur de base de données.
    commutateurs et paramètres dbadmin Description
    -useHttpCrl true | false

    Active la vérification CRL pour l'authentification d'utilisateur.

    Valeur par défaut : false

    -useHttpCrlCache true | false

    Détermine si le cache est utilisé pour la vérification CRL.

    Valeur par défaut : false

    -httpCrlCacheSize size

    Indique le nombre d'entrées dans le cache lorsque la vérification CRL est activée. Définissez cette valeur sur 32 ou moins, les CRL pouvant être volumineuses.

    Valeur par défaut : 32

    -httpCdpMaxResponseSize number-of-bytes

    Taille maximale d'une réponse acceptée à partir d'un serveur HTTP lors de la récupération de CRL. Cette valeur n'est pas la taille du fichier CRL lui-même.

    Valeur par défaut : 204800 octets

    -httpCdpTimeout seconds

    Délai d'expiration d'une réponse à partir du serveur HTTP pour une CRL.

    Valeur par défaut : 5 secondes

  2. Pour vérifier les paramètres de l'option CRL sur le serveur de base de données, entrez cette commande :
    dbadmin -showCrlOptions
  3. Pour activer la prise en charge de CRL sur le client Rational DOORS, effectuez l'une des tâches suivantes :
    • Utilisez les commutateurs et valeurs de paramètre lorsque vous ouvrez le client Rational DOORS à partir de la ligne de commande, comme dans cet exemple :
      doors.exe -useHttpCrl -httpCdpMaxResponseSize 500000 -httpCdpTimeout 10
    • Définissez des clés de registre et des valeurs dans le dossier de client Rational DOORS dans le registre. Voici un exemple d'emplacement de registre :
      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Telelogic\DOORS\9.version\Config
    Commutateurs de ligne de commande et clés de registre Description
    Commutateur de ligne de commande : -useHttpCrl

    Clé de registre : useHttpCrl

    Permet au client d'effectuer une vérification CRL du certificat du serveur. N'ajoutez pas de valeur de paramètre avec ce commutateur de ligne de commande. La vérification CRL n'est pas activée par défaut.

    Lorsque vous spécifiez ce paramètre dans le registre, vous devez inclure une valeur avec la clé useHttpCrl. La valeur est false, par défaut. Définissez la valeur sur true pour activer la vérification CRL par le client.

    Commutateur de ligne de commande : -httpCdpMaxResponseSize number_of_bytes

    Clé de registre : httpCdpMaxResponseSize

    Définit la taille maximale d'une réponse acceptée à partir d'un serveur HTTP lors de la récupération de CRL. Cette valeur n'est pas la taille du fichier CRL lui-même.

    Valeur par défaut : 204800 octets

    Commutateur de ligne de commande : -httpCdpTimeout seconds

    Clé de registre : httpCdpTimeout

    Définit le délai d'expiration d'attente d'une réponse du serveur HTTP pour une CRL.

    Valeur par défaut : 5 secondes

  4. Pour afficher les paramètres d'option CRL dans le client Rational DOORS, ouvrez la fenêtre DOORS Database Properties et cliquez sur l'onglet Règle de connexion. Les paramètres sont en lecture seule dans le client, car ils sont définis grâce à la commande dbadmin. Si la case Activer les vérifications de révocation CRL est cochée, vous pouvez cliquer sur le bouton Options CRL pour afficher les options définies pour le serveur de base de données.

Commentaires en retour