V9.6.0.1: Настройка Rational DOORS для поддержки списков аннулированных сертификатов PKI

Начиная с версии 9.6.0.1, IBM® Rational DOORS можно настроить для применения списков аннулированных сертификатов (CRL) инфраструктуры общих ключей (PKI) для управления доступом пользователей.

Прежде чем начать

Для применения CRL администраторы должны настроить Rational DOORS для поддержки PKI и соответствия требованиям шифрования. Дополнительная информация приведена в разделе Настройка смарт-карт и сертификатов для Rational DOORS

Об этой задаче

CRL - это структура подписанных данных, содержащая список аннулированных сертификатов с метками времени. Аннулированные сертификаты отклоняются в процессе идентификации. Как правило, CRL блокируют доступ в случае изменения состояния пользователя или в случае раскрытия сертификата пользователя или его личного ключа.

Сертификаты клиентов и CRL должны соответствовать следующим условиям:

Если сертификаты PKI применяются для идентификации пользователей, то сервер базы данных можно настроить для поддержки CRL. Если поддержка CRL включена, то сервер проверяет сертификаты клиента при входе пользователя.

С помощью команды dbadmin администратор может указать параметры CRL для сервера. Сервер отправляет параметры CRL в протокол сервера. Если доступна диагностическая информация о CRL, то сервер сохраняет ее в протоколе в ходе проверки сертификата.

Клиент Rational DOORS можно настроить для проверки сертификата сервера с учетом CRL. Параметры CRL можно указать в команде doors.exe или в реестре. Пользователи с правами на просмотр свойств базы данных в клиенте могут проверить параметры CRL, применяемые сервером.

Если аннулированный сертификат пользователя отклонен сервером, то клиент выдает следующее сообщение:
Сертификат пользователя не проверен.
Возможные причины ошибки:
1. сервер не считает цепочку сертификатов надежной
2. сертификат пользователя аннулирован
3. CRL сертификата пользователя недоступен
DOORS будет закрыт.
Следующее сообщение добавляется в протокол сервера:
received invalid socket: boost::exception_detail::clone_impl<class SecureCommsException>: GSKit SocInit failed: GSK_ERROR_BAD_CERT -- unable to validate the client certificate
- ненадежная цепочка сертификатов
- сертификат аннулирован
- недоступен CRL сертификата
Если аннулированный сертификат сервера отклонен клиентом, то клиент выдает следующее сообщение:
Не удалось проверить
сертификат сервера. Сертификат сервера аннулирован.
DOORS будет закрыт.

Для проверки сертификата сервер использует самые последние доступные параметры. После изменения параметров CRL необходимо перезапустить сервер.

Прим.: Rational DOORS поддерживает только формат DER для CRL. Rational DOORS Web Access поддерживает форматы DER (двоичный) и PEM (base-64).

Процедура

  1. С помощью следующих параметров команды dbadmin включите поддержку CRL на сервере базы данных Rational DOORS. Инструкции по работе с командой dbadmin приведены в разделе Параметры командной строки сервера базы данных.
    Параметры dbadmin Описание
    -useHttpCrl true | false

    Включает проверку CRL для идентификации пользователей.

    Значение по умолчанию: false

    -useHttpCrlCache true | false

    Позволяет разрешить применение кэша для проверки CRL.

    Значение по умолчанию: false

    -httpCrlCacheSize размер

    Задает число записей кэша, если включена проверка CRL. Укажите значение не более 32, поскольку CRL могут быть большими.

    Значение по умолчанию: 32

    -httpCdpMaxResponseSize число-байт

    Максимальный размер ответа, принимаемого от сервера HTTP, при извлечении CRL. Это значение отличается от размера файла CRL.

    Значение по умолчанию: 204800 байт.

    -httpCdpTimeout секунды

    Тайм-аут ожидания ответа от сервера HTTP для CRL.

    Значение по умолчанию: 5 секунд

  2. Для проверки параметров CRL на сервере базы данных выполните следующую команду:
    dbadmin -showCrlOptions
  3. Для включения поддержки CRL в клиенте Rational DOORS выполните одну из следующих задач:
    • Укажите параметры при открытии клиента Rational DOORS с помощью командной строки, например:
      doors.exe -useHttpCrl -httpCdpMaxResponseSize 500000 -httpCdpTimeout 10
    • Укажите параметры и значения в папке клиента Rational DOORS в реестре. Пример расположения реестра:
      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Telelogic\DOORS\9.версия\Config
    Параметры командной строки им разделы реестра Описание
    Параметр командной строки: -useHttpCrl

    Раздел реестра: useHttpCrl

    Включает на клиенте проверку CRL для сертификата сервера. Не указывайте значение параметра в командной строке. По умолчанию проверка CRL выключена.

    При указании этого параметра в реестре необходимо указать значение с ключом useHttpCrl. По умолчанию применяется значение false. Укажите значение true, чтобы включить проверку CRL на уровне клиента.

    Параметр командной строки: -httpCdpMaxResponseSize число-байт

    Раздел реестра: httpCdpMaxResponseSize

    Задает максимальный размер ответа, принимаемого от сервера HTTP, при извлечении CRL. Это значение отличается от размера файла CRL.

    Значение по умолчанию: 204800 байт.

    Параметр командной строки: -httpCdpTimeout секунды

    Раздел реестра: httpCdpTimeout

    Задает тайм-аут ожидания ответа от сервера HTTP для CRL.

    Значение по умолчанию: 5 секунд

  4. Для просмотра параметров CRL в клиенте Rational DOORS откройте окно Свойства входа в систему и перейдите на вкладку Стратегия. Параметры доступны клиенту только для чтения, поскольку они указываются с помощью команды dbadmin. Если переключатель Включить проверки аннулирования CRL включен, то с помощью кнопки Опции CRL можно просмотреть параметры, указанные для сервера базы данных.

Комментарии