Eine Zertifikatswiderrufsliste ist eine signierte Datenstruktur, die eine Liste mit einer Zeitmarke enthält, in der widerrufene Zertifikate angegeben sind. Widerrufene Zertifikate sind für die Authentifizierung nicht mehr vertrauenswürdig. In der Regel wird der Zugriff durch Zertifikatswiderrufslisten blockiert, wenn sich der Beschäftigungsstatus eines Benutzers ändert oder wenn die Sicherheit des Zertifikats bzw. des privaten Schlüssels eines Benutzers beeinträchtigt ist.
Clientzertifikate und Zertifikatswiderrufslisten müssen folgende Bedingungen erfüllen:
Wenn für die Benutzerauthentifizierung PKI-Zertifikate verwendet werden, können Sie den Datenbankserver für die Unterstützung von Zertifikatswiderrufslisten konfigurieren. Wenn die Unterstützung für Zertifikatswiderrufslisten aktiviert ist, werden die Clientzertifikate vom Server überprüft, sobald ein Benutzer versucht, sich anzumelden, um zu überprüfen, ob das Zertifikat widerrufen wurde.
Administratoren verwenden den Befehl dbadmin zum Festlegen von CRL-Optionen für den Server. Vom Server werden die CRL-Einstellungen an das Serverprotokoll gesendet. Wenn Diagnoseinformationen zur Zertifikatswiderrufsliste verfügbar sind, protokolliert der Server diese Informationen, wenn ein Zertifikat überprüft wird.
Sie können auf dem Rational DOORS-Client die Ausführung der CRL-Überprüfung des Serverzertifikats aktivieren, wenn Sie den Client öffnen. Geben Sie die CRL-Optionen mit dem Befehl doors.exe in der Befehlszeile an oder legen Sie die Schlüssel und Werte in der Registry fest. Benutzer, die über die Berechtigung zum Anzeigen der Datenbankeigenschaften im Client verfügen, können die CRL-Optionen überprüfen, die vom Server verwendet werden.
Das Benutzerzertifikat wurde nicht überprüft.
Einige mögliche Ursachen für den Fehler:
1. Der Server vertraut der gesamten Zertifikatskette nicht.
2. Das Benutzerzertifikat wurde widerrufen.
3. Die CRL des Benutzerzertifikats ist nicht verfügbar.
DOORS wird nun beendet.
Die folgende Nachricht wird im Serverprotokoll veröffentlicht:
Ungültiges Socket empfangen: boost::exception_detail::clone_impl<class SecureCommsException>: GSKit SocInit failed: GSK_ERROR_BAD_CERT -- Das Clientzertifikat kann nicht überprüft werden.
- die Zertifikatskette ist möglicherweise nicht vertrauenswürdig
- das Zertifikat wurde möglicherweise widerrufen
- die Zertifikats-CRL ist möglicherweise nicht verfügbar
Das Serverzertifikat kann nicht überprüft werden. Das Serverzertifikat wurde widerrufen.
DOORS wird nun beendet.
Vom Server werden die neuesten verfügbaren Optionseinstellungen zum Überprüfen eines Zertifikats verwendet. Wenn Sie die CRL-Optionen ändern, müssen Sie den Server erneut starten, damit die Änderungen wirksam werden.