CRL は、失効した証明書が識別されるタイム・スタンプ付きリストが含まれた署名済みデータ構造体です。 失効した証明書は、認証用には信頼されなくなっています。 通常、ユーザーの雇用状況や地位が変わったとき、またはユーザーの証明書や、それに対応する秘密鍵が漏えいしたときに、CRL によってアクセスがブロックされます。
クライアント証明書および CRL は以下の条件を満たす必要があります。
ユーザー認証に PKI 証明書が使用される場合は、CRL をサポートするようにデータベース・サーバーを構成できます。 CRL に対するサポートが有効になっている場合は、証明書が失効していないことを確認するためにユーザーがログインを試みたときに、 サーバーでクライアント証明書が検査されます。
管理者は dbadmin コマンドを使用して、サーバーに対して CRL オプションを設定します。 CRL 設定がサーバーからサーバー・ログに送信されます。 CRL に関する診断情報が利用可能な場合は、証明書が妥当性検査されたときに、この情報がサーバーでログに記録されます。
Rational DOORS クライアントを 開いたときに、そのクライアントがサーバー証明書の CRL 検査を実行できるようにすることが可能です。 コマンド行で doors.exe コマンドを使用して CRL オプションを指定するか、 またはレジストリーにキーと値を設定してください。 クライアントでデータベース・プロパティーを表示する許可を持つユーザーは、サーバーで使用される CRL オプションを検査できます。
The user certificate was not validated.
Some possible reasons for the error:
1. the server does not trust the whole certificate chain
2. the user certificate has been revoked
3. the user certificate CRL is not available
DOORS will now exit.
サーバー・ログには次のメッセージが記録されます。
received invalid socket: boost::exception_detail::clone_impl<class SecureCommsException>: GSKit SocInit failed: GSK_ERROR_BAD_CERT -- unable to validate the client certificate
- the certificate chain might not be trusted
- the certificate might be revoked
- the certificate CRL might not be available
Unable to validate the server certificate. The server certificate has been revoked.
DOORS will now exit.
サーバーでは、証明書の妥当性検査に、利用可能な最新のオプション設定が使用されます。 CRL オプションを変更した場合は、変更を適用するためにサーバーを再始動する必要があります。