버전 9.6.0.1 이상에서 사용자 액세스 관리에 PKI(Public Key Infrastructure) 인증서 폐기 목록(CRL)을 사용하도록
IBM® Rational® DOORS® Web Access를
구성할 수 있습니다.
이 태스크 정보
CRL은 폐기된 인증서를 식별하는 시간소인 목록이 포함된 서명된 데이터 구조입니다. 폐기된 인증서는 인증을 위해 더 이상
신뢰되지 않습니다. 일반적으로 CRL은 사용자의 고용 상태 또는 과제가 변경되거나 사용자의 인증서 또는 해당하는 개인 키가 손상되면 액세스를 차단합니다.
클라이언트 인증서와 CRL은 다음 조건을 충족해야 합니다.
- 인증 기관(CA)은 클라이언트 인증서 요청에 서명을 하고 URL 등의 확장된 정보를 CRL 파일에 임베드해야 합니다. 클라이언트 인증서에 올바른
CRL 확장 세부사항이 포함되지 않은 경우 인증서는 거부됩니다.
- CRL이 만료되면 Apache Tomcat은 서비스 연결을 거부합니다.
- 만료되지 않은 이전 CRL 파일이 로드되면 폐기된 인증서가 포함된 새 CRL은 로드되지 않습니다.
- 폐기된 인증서가 아직 로드되지 않은 새 CRL 파일에 나열된 경우 폐기 목록에 있는 사용자는 여전히 애플리케이션에 액세스할 수 있습니다.
참고: Rational DOORS Web Access는 CRL에 대해 DER(2진)과 PEM(base-64) 형식을 둘 다 지원합니다. Rational DOORS는 DER 형식만 지원합니다.
CRL을 지원하도록 Rational DOORS Web Access를 구성하려면 Apache Tomcat 서버를 시작하는 데 사용되는
스크립트를 수정하십시오.