CRL - это структура подписанных данных, содержащая список аннулированных сертификатов с метками времени. Аннулированные сертификаты отклоняются в процессе идентификации. Как правило, CRL блокируют доступ в случае изменения состояния пользователя или в случае раскрытия сертификата пользователя или его личного ключа.
Сертификаты клиентов и CRL должны соответствовать следующим условиям:
Если сертификаты PKI применяются для идентификации пользователей, то сервер базы данных можно настроить для поддержки CRL. Если поддержка CRL включена, то сервер проверяет сертификаты клиента при входе пользователя.
С помощью команды dbadmin администратор может указать параметры CRL для сервера. Сервер отправляет параметры CRL в протокол сервера. Если доступна диагностическая информация о CRL, то сервер сохраняет ее в протоколе в ходе проверки сертификата.
Клиент Rational DOORS можно настроить для проверки сертификата сервера с учетом CRL. Параметры CRL можно указать в команде doors.exe или в реестре. Пользователи с правами на просмотр свойств базы данных в клиенте могут проверить параметры CRL, применяемые сервером.
Сертификат пользователя не проверен.
Возможные причины ошибки:
1. сервер не считает цепочку сертификатов надежной
2. сертификат пользователя аннулирован
3. CRL сертификата пользователя недоступен
DOORS будет закрыт.
Следующее сообщение добавляется в протокол сервера:
received invalid socket: boost::exception_detail::clone_impl<class SecureCommsException>: GSKit SocInit failed: GSK_ERROR_BAD_CERT -- unable to validate the client certificate
- ненадежная цепочка сертификатов
- сертификат аннулирован
- недоступен CRL сертификата
Не удалось проверить
сертификат сервера. Сертификат сервера аннулирован.
DOORS будет закрыт.
Для проверки сертификата сервер использует самые последние доступные параметры. После изменения параметров CRL необходимо перезапустить сервер.