V9.6.0.1: Configuración de Rational DOORS Web Access para dar soporte a listas de revocación de certificados PKI

En la versión 9.6.0.1 y posteriores, puede configurar IBM® Rational DOORS Web Access para utilizar listas de revocación de certificados (CRL) de infraestructura de claves públicas (PKI) para gestionar el acceso de usuario.

Antes de empezar

Para utilizar CRL, los administradores deben configurar IBM Rational DOORS y Rational DOORS Web Access para habilitar el soporte de PKI y la conformidad de cifrado.

Acerca de esta tarea

Una CRL es una estructura de datos firmada que contiene una lista con indicaciones de fecha y hora que identifica los certificados revocados. Los certificados revocados ya no son de confianza para la autenticación. Generalmente, las CRL bloquean el acceso cuando la asignación o el estado de empleo de un usuario cambia o cuando el certificado de un usuario o la clave privada correspondiente están comprometidos.

Los certificados de cliente y las CRL deben cumplir las siguientes condiciones:

Nota: Rational DOORS Web Access admite formatos DER (binario) y PEM (base 64) para las CRL. Rational DOORS sólo admite el formato DER.

Procedimiento

Para configurar Rational DOORS Web Access para dar soporte a las CRL, modifique el script que se utiliza para iniciar el servidor Apache Tomcat.

  1. Abra el script de inicio del servidor Apache Tomcat en un editor.
    • En los sistemas Windows, el archivo de script server.start.bat se encuentra en el directorio de instalación de Rational DOORS Web Access; por ejemplo, C:\Archivos de programa (x86)\IBM\Rational\DOORS Web Access\9.versión.
    • En los sistemas Linux, el archivo de script server.start.sh está en el directorio de instalación de Rational DOORS Web Access.
  2. Establezca las propiedades del sistema para habilitar el soporte de CRL.
    • En los sistemas Windows, añada este código casi al final del archivo, antes de la entrada cd %CATALINA_HOME%\bin:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.checkRevocation=true -Dcom.ibm.security.enableCRLDP=true
    • En los sistemas Linux, añada este código antes de la entrada export JAVA_OPTS:
      JAVA_OPTS=$JAVA_OPTS -Dcom.ibm.jsse2.checkRevocation=true -Dcom.ibm.security.enableCRLDP=true
    Nota: La depuración SSL se puede habilitar añadiendo esta propiedad del sistema:
    -Djavax.net.debug=sslor 
    o bien
    -Djavax.net.debug=ssl,handshake
  3. Guarde y cierre el archivo de script de inicio.

Ejemplo

Para obtener ejemplos de cómo realizar otras ediciones en el script de inicio, consulte Configuración del cumplimiento de FIPS 140-2 en Rational DOORS Web Access.

Comentarios