Windows ユーザー認証および TLS 証明書

トランスポート層セキュリティー (TLS) 証明書を 使用すれば、Rational® DOORS® サーバーと Rational DOORS クライアントの間で セキュア暗号化通信を行うことができます。 ユーザーが Windows ユーザー認証を 使用して Rational DOORS に ログインするときに TLS 証明書が使用されます。

TLS 証明書および鍵ストア

TLS 証明書を 使用すれば、Rational DOORS サーバーと Rational DOORS クライアントの間で セキュアな通信を行うことができます。

クライアントは妥当性検査のために証明書をサーバーに送信し、サーバーは妥当性検査のために証明書をクライアントに送信します。

妥当性検査には鍵ストアが使用されます。 クライアント鍵ストアによってサーバー証明書が妥当性検査され、サーバー鍵ストアによってクライアント証明書が妥当性検査されます。

証明書は、ルート証明書をツリーの最上位とするツリー構造で編成できます。 ツリー内のすべての証明書は、ルート証明書の信頼性を継承します。 鍵ストアにより各証明書を個別に妥当性検査できます。 ルート証明書が鍵ストアにより妥当性検査されると、各証明書も妥当性検査されます。

デフォルトでは、Rational DOORS が インストールされると、IBM® GSKIT から提供される TLS 証明書に加えて、 すぐに使用できる 2 つの鍵ストアがインストールされます。

鍵ストアは certdb フォルダーに入っています。 クライアント鍵ストアは client_authentication.kdb という名前です。 サーバー鍵ストアは server_authentication.kdb という名前です。

client_authentication.kdb 鍵ストアには、クライアントからサーバーに送信できる証明書 IBM_CL1 が入っています。server_authentication.kdb 鍵ストアには、サーバーからクライアントに送信できる証明書 IBM_SV1 が入っています。 IBM_SV1 には、サーバーが稼働しているマシンの名前が入っています。 デフォルトでは、この名前は IBMEDSERV です。

クライアント鍵ストアには、サーバー証明書が含まれたツリーのルート証明書も入っています。 これとクライアント鍵ストアを使用して、サーバー証明書を妥当性検査できます。 例えば、client_authentication.kdb には、IBM_SV1 が含まれているツリーのルート証明書が入っています。 この鍵ストアでは、IBM_SV1 の妥当性検査に、このルート証明書が使用されます。 サーバー鍵ストアには、クライアント証明書が含まれているツリーのルート証明書が入っていて、クライアント証明書の妥当性検査に使用されます。

デフォルト設定を変更せずに Rational DOORS サーバーを 始動した場合、このサーバーの鍵ストアと証明書の構成がデフォルトで使用され、 すべての Rational DOORS クライアントが このサーバーとのセキュアな接続を確立します。

デフォルト設定を変更して、独自の仕様に合うように、 ご使用のシステムをセットアップできます。 これを行うには、コマンド行スイッチを実行して、異なる鍵ストア、証明書名、またはサーバー名を指定します。 例えば、IBM_SV1 を別の証明書名に変更するか、IBMEDSERV を別のサーバー名に変更することができます。

スマート・カード証明書

スマート・カードを使用する場合、クライアントの 証明書は Rational DOORS クライアント自体には入っていません。 クライアントの証明書は、ユーザーに関連付けられた識別名 (DN) とともに、スマート・カード上にあります。 スマート・カード上の証明書は、証明書ラベルによって識別されます。 ユーザーは DN によって識別されます。 この DN は、attribute=value のペアをコンマで区切ったものから構成されます。 次の例を参照してください:

CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

フィードバック