9.6.0.1 版:配置 Rational DOORS 來支援 PKI 憑證撤銷清冊

在 9.6.0.1 版以及更新版本中,您可以配置 IBM® Rational® DOORS® 使用公開金鑰基礎架構 (PKI) 憑證撤銷清冊 (CRL) 來管理使用者存取。

開始之前

如果要使用 CRL,管理者必須配置 Rational DOORS 來啟用 PKI 支援及加密標準。如需詳細資料,請參閱配置 Rational DOORS 的智慧卡和憑證

關於這項作業

CRL 是簽署的資料結構,其中包含時間戳記清單來識別撤銷的憑證。撤銷的憑證不再於鑑別中受到信任。當使用者的僱用狀態或指派變更時,或當使用者的憑證或對應的私密金鑰已受損時,CRL 通常會禁止存取。

用戶端憑證和 CRL 必須符合這些條件:

如果使用者鑑別使用 PKI 憑證,您可以配置資料庫伺服器來支援 CRL。啟用 CRL 的支援後,當使用者嘗試登入來確認憑證未撤銷時,伺服器會檢查用戶端憑證。

管理者使用 dbadmin 指令來設定伺服器的 CRL 選項。伺服器會將 CRL 設定傳送至伺服器日誌。如果有 CRL 的相關診斷資訊,則伺服器在驗證憑證時會記載此資訊。

您可以讓 Rational DOORS 用戶端在您開啟用戶端時對伺服器憑證執行 CRL 檢查。在指令行使用 doors.exe 指令,或在登錄中設定機碼和值,以指定 CRL 選項。有權限在用戶端檢視資料庫內容的使用者,可以檢查伺服器使用的 CRL 選項。

如果撤銷的使用者憑證遭到伺服器拒絕,用戶端會顯示這個訊息:
使用者憑證未驗證。
錯誤的部分可能原因:
1. 伺服器不信任整個憑證鏈
2. 已撤銷使用者憑證
3. 使用者憑證 CRL 無法使用
DOORS 將立即結束。
伺服器日誌中會張貼下列訊息:
received invalid socket: boost::exception_detail::clone_impl<class SecureCommsException>: GSKit SocInit failed: GSK_ERROR_BAD_CERT -- unable to validate the client certificate
- the certificate chain might not be trusted
- the certificate might be revoked
- the certificate CRL might not be available
如果撤銷的伺服器憑證遭到用戶端拒絕,用戶端會顯示這個訊息:
無法驗證伺服器憑證。已撤銷伺服器憑證。
DOORS 將立即結束。

伺服器會使用最新可用的選項設定來驗證憑證。如果您變更 CRL 選項,則必須重新啟動伺服器來套用變更。

註: Rational DOORS 僅支援 DER 格式的 CRL。Rational DOORS Web Access 同時支援 DER(二進位)與 PEM (Base-64) 格式。

程序

  1. 使用這些 dbadmin 指令切換參數及參數來設定選項,以在 Rational DOORS 資料庫伺服器上啟用 CRL 的支援。如需如何使用 dbadmin 指令的詳細資訊,請參閱資料庫伺服器的指令行切換參數
    dbadmin 切換參數及參數 說明
    -useHttpCrl true | false

    針對使用者鑑別啟用 CRL 檢查。

    預設值:false

    -useHttpCrlCache true | false

    決定 CRL 檢查是否使用快取。

    預設值:false

    -httpCrlCacheSize size

    指定 CRL 檢查啟用時快取中的項目數。請將這個值設為 32 或更小,因為 CRL 可能很大。

    預設值:32

    -httpCdpMaxResponseSize number-of-bytes

    擷取 CRL 時從 HTTP 伺服器接受的回應大小上限。這個值不是 CRL 檔本身的大小。

    預設值:204800 位元組

    -httpCdpTimeout seconds

    等待 HTTP 伺服器回應 CRL 的逾時。

    預設值:5 秒

  2. 如果要在資料庫伺服器上檢查 CRL 選項設定,請輸入這個指令:
    dbadmin -showCrlOptions
  3. 如果要在 Rational DOORS 用戶端啟用 CRL 的支援,請執行下列其中一項作業:
    • 當您從指令行開啟 Rational DOORS 用戶端時,使用切換參數及參數值,如下列範例所示:
      doors.exe -useHttpCrl -httpCdpMaxResponseSize 500000 -httpCdpTimeout 10
    • 在登錄中的 Rational DOORS 用戶端資料夾中設定登錄機碼和值。以下是登錄位置的範例:
      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Telelogic\DOORS\9.version\Config
    指令行切換參數及登錄機碼 說明
    指令行切換參數:-useHttpCrl

    登錄機碼:useHttpCrl

    讓用戶端對伺服器憑證執行 CRL 檢查。這個指令行切換參數不可包含參數值。依預設不會啟用 CRL 檢查。

    當您在登錄中指定這項設定時,useHttpCrl 機碼必須包含值。依預設,值為 false。將值設為 true 可讓用戶端啟用 CRL 檢查。

    指令行切換參數:-httpCdpMaxResponseSize number_of_bytes

    登錄機碼: httpCdpMaxResponseSize

    設定擷取 CRL 時從 HTTP 伺服器接受的回應大小上限。這個值不是 CRL 檔本身的大小。

    預設值:204800 位元組

    指令行切換參數:-httpCdpTimeout seconds

    登錄機碼: httpCdpTimeout

    設定等待 HTTP 伺服器回應 CRL 的逾時。

    預設值:5 秒

  4. 如果要在 Rational DOORS 用戶端中檢視 CRL 選項設定, 請開啟「登入內容」視窗,然後按一下原則標籤。 這些設定在用戶端中是唯讀的,因為它們是使用 dbadmin 指令所設定。如果選取啟用 CRL 撤銷檢查勾選框,您可以按一下 CRL 選項按鈕,以檢視資料庫伺服器已設定的選項。

意見