V9.6.0.1: PKI 証明書失効リストをサポートするように Rational DOORS を構成

バージョン 9.6.0.1 以降では、ユーザー・アクセスの管理に公開鍵インフラストラクチャー (PKI) 証明書失効リスト (CRL) を 使用するように IBM® Rational® DOORS® を構成できます。

始める前に

Rational DOORS で CRL が使用されるようにするには、 管理者が Rational DOORS を 構成して PKI サポートおよび暗号化準拠を有効にする必要があります。 詳しくは、『スマート・カードおよび証明書の構成』を 参照してください。

このタスクについて

CRL は、失効した証明書が識別されるタイム・スタンプ付きリストが含まれた署名済みデータ構造体です。 失効した証明書は、認証用には信頼されなくなっています。 通常、ユーザーの雇用状況や地位が変わったとき、またはユーザーの証明書や、それに対応する秘密鍵が漏えいしたときに、CRL によってアクセスがブロックされます。

クライアント証明書および CRL は以下の条件を満たす必要があります。

ユーザー認証に PKI 証明書が使用される場合は、CRL をサポートするようにデータベース・サーバーを構成できます。 CRL に対するサポートが有効になっている場合は、証明書が失効していないことを確認するためにユーザーがログインを試みたときに、 サーバーでクライアント証明書が検査されます。

管理者は dbadmin コマンドを使用して、サーバーに対して CRL オプションを設定します。 CRL 設定がサーバーからサーバー・ログに送信されます。 CRL に関する診断情報が利用可能な場合は、証明書が妥当性検査されたときに、この情報がサーバーでログに記録されます。

Rational DOORS クライアントを 開いたときに、そのクライアントがサーバー証明書の CRL 検査を実行できるようにすることが可能です。 コマンド行で doors.exe コマンドを使用して CRL オプションを指定するか、 またはレジストリーにキーと値を設定してください。 クライアントでデータベース・プロパティーを表示する許可を持つユーザーは、サーバーで使用される CRL オプションを検査できます。

失効したユーザー証明書がサーバーで拒否された場合は、クライアントから次のメッセージが表示されます。
The user certificate was not validated.
Some possible reasons for the error:
1. the server does not trust the whole certificate chain
2. the user certificate has been revoked
3. the user certificate CRL is not available
DOORS will now exit.
サーバー・ログには次のメッセージが記録されます。
received invalid socket: boost::exception_detail::clone_impl<class SecureCommsException>: GSKit SocInit failed: GSK_ERROR_BAD_CERT -- unable to validate the client certificate
- the certificate chain might not be trusted
- the certificate might be revoked
- the certificate CRL might not be available
失効したサーバー証明書がクライアントで拒否された場合は、クライアントから次のメッセージが表示されます。
Unable to validate the server certificate. The server certificate has been revoked.
DOORS will now exit.

サーバーでは、証明書の妥当性検査に、利用可能な最新のオプション設定が使用されます。 CRL オプションを変更した場合は、変更を適用するためにサーバーを再始動する必要があります。

注: Rational DOORS は CRL に対して DER 形式のみをサポートしています。 Rational DOORS Web Access は DER (バイナリー) 形式と PEM (Base64) 形式の両方をサポートしています。

手順

  1. 以下の dbadmin コマンドのスイッチとパラメーターは、Rational DOORS データベース・サーバーにおいて CRL のサポートを有効にするオプションを設定するために 使用します。 dbadmin コマンドの使用方法について 詳しくは、『データベース・サーバー用のコマンド・ライン・スイッチ』を 参照してください。
    dbadmin スイッチおよびパラメーター 説明
    -useHttpCrl true | false

    これは、ユーザー認証に CRL 検査を使用できるようにします。

    デフォルト値: false

    -useHttpCrlCache true | false

    これは、CRL 検査にキャッシュを使用するかどうかを決定します。

    デフォルト値: false

    -httpCrlCacheSize size

    これは、CRL 検査が有効になっているときにキャッシュに含まれるエントリーの数を指定します。 CRL が大きくなる可能性があるため、この値は 32 以下に設定してください。

    デフォルト値: 32

    -httpCdpMaxResponseSize number-of-bytes

    CRL の取得時に HTTP サーバーから受け取る応答の最大サイズ。 この値は、CRL ファイル自体のサイズではありません。

    デフォルト値: 204800 バイト

    -httpCdpTimeout seconds

    CRL に関する HTTP サーバーからの応答を待機している状態がタイムアウトになるまでの時間。

    デフォルト値: 5 秒

  2. データベース・サーバー上の CRL オプション設定を検査するには、次のコマンドを入力します。
    dbadmin -showCrlOptions
  3. Rational DOORS クライアントで CRL に対するサポートを有効にするには、以下のいずれかのタスクを実行します。
    • Rational DOORS クライアントをコマンド行から開くときは、次の例にあるようにスイッチとパラメーター値を使用します。
      doors.exe -useHttpCrl -httpCdpMaxResponseSize 500000 -httpCdpTimeout 10
    • レジストリーの場合は、Rational DOORS クライアント・フォルダーにレジストリーのキーと値を設定します。 レジストリー・ロケーションの例を以下に示します。
      HKEY_LOCAL_MACHINE¥SOFTWARE¥Wow6432Node¥Telelogic¥DOORS¥9.version¥Config
    コマンド行スイッチおよびレジストリー・キー 説明
    コマンド行スイッチ: -useHttpCrl

    レジストリー・キー: useHttpCrl

    これは、クライアントがサーバー証明書の CRL 検査を実行できるようにします。 このコマンド行スイッチとともにパラメーター値を組み込まないでください。 CRL 検査はデフォルトでは有効になっていません。

    この設定をレジストリーに指定するときは、useHttpCrl キーとともに値を組み込む必要があります。 この値はデフォルトでは false です。 クライアントによる CRL 検査を有効にするには、この値を true に設定してください。

    コマンド行スイッチ: -httpCdpMaxResponseSize number_of_bytes

    レジストリー・キー: httpCdpMaxResponseSize

    これは、CRL の取得時に HTTP サーバーから受け取る応答の最大サイズを設定します。 この値は、CRL ファイル自体のサイズではありません。

    デフォルト値: 204800 バイト

    コマンド行スイッチ: -httpCdpTimeout seconds

    レジストリー・キー: httpCdpTimeout

    これは、CRL に関する HTTP サーバーからの応答を待機している状態がタイムアウトになるまでの時間を設定します。

    デフォルト値: 5 秒

  4. Rational DOORS クライアントにおける CRL オプション設定を 表示するには、「DOORS データベース・プロパティー (DOORS Database Properties)」ウィンドウを 開いて、「ログイン・ポリシー」タブをクリックします。 その CRL オプション設定は、dbadmin コマンドを使用して設定されるものであるため、Rational DOORS クライアントでは 読み取り専用になっています。 「CRL 失効検査を使用可能にする」チェック・ボックスが選択された 場合は、「CRL オプション」ボタンをクリックして、データベース・サーバーに対して設定されているオプションを表示できます。

フィードバック