Cartões Inteligentes e Certificados TLS

Os certificados da Segurança da Camada de Transporte (TLS) fornecem comunicação criptografada segura entre o servidor Rational DOORS e o cliente Rational DOORS. Quando usuários efetuam logon no Rational DOORS com um cartão inteligente, certificados TLS são usados.

Certificados TLS e Keystores

O cliente envia um certificado para o servidor validar e o servidor envia um certificado para o cliente validar. A validação é efetuada pelos keystores. Um keystore do cliente valida o certificado do servidor e um keystore do servidor valida o certificado de cliente.

Os certificados podem ser organizados em uma estrutura em árvore, com um certificado raiz na parte superior da árvore. Todos os certificados na árvore herdam a fidelidade do certificado raiz. Os keystores podem validar cada certificado individualmente. Se o keystore validar o certificado raiz, cada certificado também será validado.

Por padrão, o Rational DOORS é instalado com certificados TLS que são fornecidos pelo IBM® GSKit e dois keystores que estão prontos para uso.

Os keystores estão na pasta certdb. O keystore do cliente é client_authentication.kdb e o keystore do servidor é server_authentication.kdb.

O keystore client_authentication.kdb contém um certificado que o cliente pode enviar para o servidor chamado IBM_CL1 e o keystore server_authentication.kdb contém um certificado chamado IBM_SV1 que o servidor pode enviar ao cliente. O certificado IBM_SV1 contém o nome do computador no qual o servidor está em execução. Por padrão, o nome é IBMEDSERV.

O keystore do cliente também contém o certificado raiz da árvore que contém o certificado do servidor, que o keystore do cliente usa para validar o certificado do servidor. Por exemplo, o keystore client_authentication.kdb contém o certificado raiz da árvore que contém o certificado IBM_SV1 e usa o certificado raiz para validar o IBM_SV1. O keystore do servidor contém o certificado raiz da árvore que contém o certificado de cliente e o usa para validar o certificado de cliente.

Se iniciar o servidor Rational DOORS no modo seguro, todos os clientes do Rational DOORS farão conexões seguras com o servidor. Se você não especificar comutadores de linha de comandos, estas configurações padrão serão usadas:
  • server_authentication.kdb é o nome do keystore do servidor
  • IBM_SV1 é o nome do certificado
  • IBMEDSERV é o nome do servidor

É possível alterar as configurações padrão e configurar seu sistema com suas especificações. Para especificar suas próprias configurações, execute comutadores de linha de comandos para especificar um keystore, um nome do certificado ou um nome do servidor diferente. Por exemplo, é possível alterar IBM_SV1 para um nome do certificado diferente ou alterar IBMEDSERV para um nome do servidor diferente.

Certificados e Nomes Distintos de Cartão Inteligente

Ao usar cartões inteligentes, o certificado de cliente não está no cliente Rational DOORS. Em vez disso, o certificado de cliente está no cartão inteligente, juntamente com o nome distinto (DN), o qual está associado ao usuário. O certificado no cartão inteligente é identificado por um rótulo de certificado. O usuário é identificado por um DN. O DN é formado de pares atributo=valor que são separados por vírgulas:
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

Certificados Keystore

Ao usar certificados keystore, o certificado está no keystore, juntamente com o nome distinto (DN), o qual está associado ao usuário. O certificado keystore é identificado por um rótulo do certificado e o usuário é identificado por um DN. O DN é formado de pares atributo=valor que são separados por vírgulas:
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

Nomes Distintos e Conta do Usuário Administrador

A conta do usuário administrador ignora todas as verificações de direitos de acesso e é usada apenas quando for extremamente necessário, por exemplo, se nenhum outro usuário puder efetuar login ou se outros usuários não puderem acessar parte do banco de dados. Quando estiver usando cartões inteligentes e certificados, você deverá associar um nome distinto (DN) ao usuário administrador para que o usuário administrador possa acessar o banco de dados.

Processo de Configuração

Para configurar seu sistema para usar cartões inteligentes e certificados de Segurança da Camada de Transporte (TLS):
  1. Configure os usuários.

    Antes de ativar a autenticação de placa para um servidor, você deve configurar usuários do cartão inteligente. Um usuário é configurado associando o usuário a um nome distinto.

  2. Associe um nome distinto ao usuário administrador.

    Deve-se associar um nome distinto (DN) ao usuário administrador para permitir que o usuário administrador acesse o banco de dados.

  3. Ative a autenticação do cartão inteligente no servidor de banco de dados.
  4. Ative a autenticação do cartão inteligente no cliente.

O que Fazer em Seguida

Configure os usuários. Se você estiver usando a autenticação de infraestrutura de chave pública (PKI), siga as instruções em Configurando Usuários de Autenticação de PKI. Se estiver usando a autenticação Microsoft Certificate Store (MCS), siga as instruções em Configurando Usuários de Autenticação do MCS.

Feedback