Os certificados TLS fornecem comunicação segura entre o servidor Rational DOORS e o cliente Rational DOORS.
O cliente envia um certificado para o servidor validar e o servidor envia um certificado para o cliente validar.
A validação é efetuada pelos keystores. Um keystore do cliente valida o certificado do servidor e um keystore do servidor valida o certificado de cliente.
Os certificados podem ser organizados em uma estrutura em árvore, com um certificado raiz na parte superior da árvore. Todos os certificados na árvore herdam a fidelidade do certificado raiz. Os keystores podem validar cada certificado individualmente ou, se o keystore validar o certificado raiz, cada certificado também será validado.
Por padrão, o Rational DOORS é instalado com certificados de TLS que são fornecidos pelo IBM® GSKIT e dois keystores que estão prontos para uso.
Os keystores estão na pasta certdb. O keystore do cliente é chamado de client_authentication.kdb e o keystore do servidor é chamado de server_authentication.kdb.
O keystore client_authentication.kdb contém um certificado que o cliente pode enviar para o servidor chamado IBM_CL1 e o keystore server_authentication.kdb contém um certificado chamado IBM_SV1 que o servidor pode enviar ao cliente. IBM_SV1 contém o nome da máquina na qual o servidor está em execução. Por padrão, ele é IBMEDSERV.
O keystore do cliente também contém o certificado raiz da árvore que contém os certificados do servidor, o qual permite que o keystore do cliente valide o certificado do servidor. Por exemplo, client_authentication.kdb contém o certificado raiz da árvore que contém IBM_SV1 e o usa para validar IBM_SV1. O keystore do servidor contém o certificado raiz da árvore que contém o certificado de cliente e o usa para validar o certificado de cliente.
Se iniciar o servidor Rational DOORS sem alterar qualquer configuração padrão, esta configuração de keystore do servidor e de certificado será usada por padrão e todos os clientes do Rational DOORS farão conexões seguras com o servidor.
É possível alterar as configurações padrão e configurar seu sistema para suas próprias especificações. Isto é feito executando os comutadores de linha de comandos que permitem especificar um keystore, nome do certificado ou nome do servidor diferente. Por exemplo, é possível alterar IBM_SV1 para um nome do certificado diferente ou IBMEDSERV para um nome do servidor diferente.
Ao usar cartões inteligentes, o certificado de cliente não está no cliente do Rational DOORS em si. Ele está no cartão inteligente, juntamente com o nome distinto (DN), o qual está associado ao usuário. O certificado no cartão inteligente é identificado por um rótulo de certificado. O usuário é identificado por um DN. O DN é formado por pares atributo=valor, separados por vírgulas, por exemplo:
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales