Na versão 9.6.0.1 e mais recente, é possível configurar o IBM® Rational DOORS Web Access para usar as listas de revogação de certificado (CRLs) de infraestrutura de chave pública (PKI) para
gerenciar o acesso de usuário.
Antes de Iniciar
Para usar CRLs, os administradores devem configurar o
IBM Rational DOORS e o
Rational
DOORS Web Access para ativar o suporte de PKI
e a conformidade de criptografia.
Sobre Esta Tarefa
Uma CRL é uma estrutura de dados assinados que contém uma lista com registro de data e hora que identifica
os certificados revogados. Os certificados
revogados não são mais confiáveis para autenticação.
Geralmente, as CRLs bloqueiam o
acesso quando o status de emprego ou a designação de um usuário muda, ou quando o
certificado ou a chave privada correspondente de um usuário é comprometido.
Os certificados de cliente e as CRLs devem atender a estas condições:
- Uma Autoridade de Certificação (CA) deve assinar a solicitação de certificado de cliente e integrar
informações estendidas, como a URL para o arquivo CRL. Se o certificado de cliente
não contiver detalhes da extensão de CRL válidos, o certificado será rejeitado.
- Se a CRL estiver expirada, o Apache Tomcat recusará conexões com o serviço.
- Se um arquivo CRL mais antigo que não expirou for carregado, a nova CRL com certificados
revogados não será carregada.
- Se um certificado revogado for listado em um novo arquivo CRL que ainda não
foi carregado, os usuários na lista de revogação de certificado ainda poderão acessar o aplicativo.
Nota: O Rational DOORS Web Access suporta os formatos DER (binário) e PEM (base-64) para
CRLs. O Rational DOORS suporta somente o formato DER.
Procedimento
Para configurar o Rational DOORS Web Access para suportar CRLs, modifique o script que
é usado para iniciar o servidor Apache Tomcat.
- Abra o script de inicialização para o servidor Apache Tomcat em um editor.
- Em sistemas Windows, o
arquivo de script server.start.bat está no diretório de instalação
do Rational DOORS Web Access;
por exemplo, C:\Program Files (x86)\IBM\Rational\DOORS
Web Access\9.version.
- Em sistemas Linux, o arquivo de script server.start.sh
está no diretório de instalação do Rational
DOORS Web
Access.
- Configure as propriedades de sistema para ativar o suporte de CRL.
Nota: A depuração de SSL pode ser ativada incluindo esta propriedade de sistema:
-Djavax.net.debug=sslor
ou
-Djavax.net.debug=ssl,handshake
- Salve e feche o arquivo de script de inicialização.