Начиная с версии 9.6.0.1,
IBM® Rational DOORS Web Access
можно настроить для применения списков аннулированных сертификатов
(CRL) инфраструктуры общих ключей (PKI) для управления доступом
пользователей.
Прежде чем начать
Для применения CRL администраторы должны настроить
IBM Rational DOORS и
Rational DOORS Web Access
для поддержки PKI и соответствия требованиям шифрования.
Об этой задаче
CRL - это структура подписанных данных, содержащая список
аннулированных сертификатов с метками времени. Аннулированные
сертификаты отклоняются в процессе идентификации.
Как правило, CRL блокируют доступ в случае изменения состояния
пользователя или в случае раскрытия сертификата пользователя или
его личного ключа.
Сертификаты клиентов и CRL должны соответствовать следующим
условиям:
- Сертификатная компания (CA) должна подписать запрос сертификата
клиента и добавить расширенную информацию, такую как URL файла CRL. Если сертификат клиента содержит недопустимые данные о
расширении CRL, то сертификат отклоняется.
- Если срок действия CRL истек, то Apache Tomcat отклоняет
соединения со службой.
- В случае загрузки старого файла CRL, срок действия которого еще
не истек, новый CRL с аннулированными сертификатами не загружается.
- Если аннулированный сертификат указан в новом файле CRL, который
еще не загружен, то пользователи списка аннулированных сертификатов
смогут получить доступ к приложению.
Прим.: Rational DOORS Web Access для CRL поддерживает форматы DER
(двоичный) и PEM (base-64). Rational DOORS поддерживает только формат DER.
Процедура
Для того чтобы настроить Rational DOORS Web Access для поддержки
CRL, внесите изменения в сценарий, применяемый для запуска сервера
Apache Tomcat.
- Откройте сценарий запуска сервера Apache
Tomcat в редакторе.
- В системах Windows файл
сценария server.start.bat находится в каталоге
установки Rational
DOORS Web Access. Пример:
C:\Program Files (x86)\IBM\Rational\DOORS Web
Access\9.версия.
- В системах Linux файл сценария server.start.sh находится
в установочном каталоге Rational
DOORS Web Access.
- Укажите системные свойства для включения поддержки CRL.
Прим.: Отладку SSL можно включить путем добавления следующего системного свойства:
-Djavax.net.debug=sslor
или
-Djavax.net.debug=ssl,handshake
- Сохраните и закройте файл сценария запуска.