V9.6.0.1: Configuración de Rational DOORS para dar soporte a las listas de revocación de certificados PKI

En la versión 9.6.0.1 y posteriores, puede configurar IBM® Rational DOORS para utilizar listas de revocación de certificados (CRL) de infraestructura de clave pública (PKI) para gestionar el acceso de usuario.

Antes de empezar

Para utilizar las CRL, los administradores deben configurar Rational DOORS para habilitar el soporte de PKI y la conformidad de cifrado. Para obtener más detalles, consulte Configuración de dispositivos de tarjeta inteligente y certificados para Rational DOORS

Acerca de esta tarea

Una CRL es una estructura de datos firmada que contiene una lista con indicaciones de fecha y hora que identifica los certificados revocados. Los certificados revocados ya no son de confianza para la autenticación. Generalmente, las CRL bloquean el acceso cuando la asignación o el estado de empleo de un usuario cambia o cuando el certificado de un usuario o la clave privada correspondiente está comprometida.

Los certificados de cliente y las CRL deben cumplir las siguientes condiciones:

Si se utilizan certificados PKI para la autenticación de usuario, puede configurar el servidor de base de datos para dar soporte a las CRL. Cuando el soporte para las CRL está habilitado, el servidor comprueba los certificados de cliente cuando un usuario intenta iniciar sesión a fin de verificar que el certificado no esté revocado.

Los administradores utilizan el mandato dbadmin para establecer las opciones de CRL para el servidor. El servidor envía los valores de CRL al registro del servidor. Si hay información de diagnóstico disponible sobre la CRL, el servidor registra esta información cuando se valida un certificado.

Puede habilitar el cliente de Rational DOORS para realizar una comprobación de CRL del certificado de servidor cuando abra el cliente. Especifique las opciones de CRL con el mandato doors.exe en la línea de mandatos o establezca las teclas y los valores en el registro. Los usuarios que tienen permiso para ver propiedades de base de datos en el cliente pueden examinar las opciones de CRL que el servidor utiliza.

Si el servidor rechaza un certificado de usuario revocado, el cliente muestra este mensaje:
No se validó el certificado de usuario.
Algunas posibles razones para este error:
1. el servidor no confía en toda la cadena de certificados
2. se ha revocado el certificado de usuario
3. la lista de revocación de certificados (CRL) del certificado de usuario no está disponible
Se efectuará ahora la salida de DOORS.
Se envía el siguiente mensaje al registro del servidor:
socket no válido recibido: boost::exception_detail::clone_impl<class SecureCommsException>: GSKit SocInit ha fallado: GSK_ERROR_BAD_CERT -- no se ha podido validar el certificado de cliente
- la cadena de certificados podría no ser de confianza
- se podría haber revocado el certificado
- la lista de revocación de certificados (CRL) del certificado podría no estar disponible
Si el cliente rechaza un certificado de servidor revocado, el cliente muestra este mensaje:
No se ha podido validar el certificado del servidor. Se ha revocado el certificado del servidor. 
Se efectuará ahora la salida de DOORS.

El servidor utiliza los valores de opciones disponibles más recientes para validar un certificado. Si cambia las opciones de CRL, debe reiniciar el servidor para aplicar los cambios.

Nota: Rational DOORS sólo admite el formato DER para las CRL. Rational DOORS Web Access admite los formatos DER (binario) y PEM (base 64).

Procedimiento

  1. Utilice estos conmutadores y parámetros del mandato dbadmin para establecer las opciones para habilitar el soporte para las CRL en el servidor de base de datos de Rational DOORS. Para obtener detalles sobre cómo utilizar el mandato dbadmin, consulte Conmutadores de línea de mandatos para el servidor de base de datos.
    Conmutadores y parámetros de dbadmin Descripción
    -useHttpCrl true | false

    Habilita la comprobación de CRL para la autenticación de usuario.

    Valor predeterminado: false

    -useHttpCrlCache true | false

    Determina si se utiliza la memoria caché para la comprobación de CRL.

    Valor predeterminado: false

    -httpCrlCacheSize tamaño

    Especifica el número de entradas en la memoria caché cuando la comprobación de CRL está habilitada. Establezca este valor en 32 o menos, ya que las CRL pueden ser grandes.

    Valor predeterminado: 32

    -httpCdpMaxResponseSize número_de _bytes

    El tamaño máximo de una respuesta que se acepta desde un HTTP Server cuando se recuperan las CRL. Este valor no es el tamaño del archivo de CRL.

    Valor predeterminado: 204800 bytes

    -httpCdpTimeout segundos

    El tiempo de espera para una respuesta del HTTP Server para una CRL.

    Valor predeterminado: 5 segundos

  2. Para comprobar los valores de opciones de CRL en el servidor de base de datos, especifique este mandato:
    dbadmin -showCrlOptions
  3. Para habilitar el soporte para las CRL en el cliente de Rational DOORS, realice una de estas tareas:
    • Utilice valores de conmutadores y parámetros cuando abra el cliente de Rational DOORS desde la línea de mandatos, como en este ejemplo:
      doors.exe -useHttpCrl -httpCdpMaxResponseSize 500000 -httpCdpTimeout 10
    • Establezca las claves de registro y los valores en la carpeta de cliente de Rational DOORS en el registro. A continuación se proporciona un ejemplo de la ubicación de registro:
      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Telelogic\DOORS\9.versión\Config
    Conmutadores de línea de mandatos y claves de registro Descripción
    Conmutador de línea de mandatos: -useHttpCrl

    Clave de registro: useHttpCrl

    Habilita el cliente para realizar una comprobación de CRL del certificado de servidor. No incluya un valor de parámetro con este modificador de conmutador de línea de mandatos. La comprobación de CRL no está habilitada de forma predeterminada.

    Cuando especifica este valor en el registro, debe incluir un valor con la clave useHttpCrl. De forma predeterminada, el valor es false. Establezca el valor en true para habilitar la comprobación de CRL realizada por el cliente.

    Conmutador de línea de mandatos: -httpCdpMaxResponseSize número_de_bytes

    Clave de registro: httpCdpMaxResponseSize

    Establece el tamaño máximo de una respuesta que se acepta desde un HTTP Server cuando se recuperan las CRL. Este valor no es el tamaño del archivo de CRL.

    Valor predeterminado: 204800 bytes

    Conmutador de línea de mandatos: -httpCdpTimeout segundos

    Clave de registro: httpCdpTimeout

    Establece el tiempo de espera para una respuesta desde el HTTP Server para una CRL.

    Valor predeterminado: 5 segundos

  4. Para ver los valores de opciones de CRL en el cliente de Rational DOORS, abra la ventana Propiedades de base de datos de DOORS y pulse el separador Política de inicio de sesión. Los valores son de sólo lectura en el cliente, porque se establecen utilizando el mandato dbadmin. Si el recuadro de selección Habilitar las comprobaciones de revocación de CRL está seleccionado, puede pulsar el botón Opciones de CRL para ver las opciones establecidas para el servidor de base de datos.

Comentarios