智能卡和 TLS 证书

传输层安全性 (TLS) 证书提供了 Rational® DOORS® 服务器与 Rational DOORS 客户机之间的安全加密通信。在用户使用智能卡登录到 Rational DOORS 时,将使用 TLS 证书。

TLS 证书和密钥库

客户机将证书发送到服务器以进行验证,而服务器将证书发送到客户机以进行验证。验证由密钥库执行。客户机密钥库验证服务器证书,而服务器密钥库验证客户机证书。

证书可按照树结构进行组织,根证书位于树的顶部。树中的所有证书都继承根证书的可信度。密钥库可分别验证每个证书。如果密钥库验证根证书,那么也将验证每个证书。

缺省情况下,Rational DOORS 安装时将同时安装 IBM® GSKit 提供的 TLS 证书以及已准备就绪可供使用的两个密钥库。

这些密钥库位于 certdb 文件夹中。客户机密钥库为 client_authentication.kdb,服务器密钥库为 server_authentication.kdb

client_authentication.kdb 密钥库包含由客户机发送到服务器的名为 IBM_CL1 的证书,server_authentication.kdb 密钥库包含由服务器发送到客户机的名为 IBM_SV1 的证书。IBM_SV1 证书包含服务器运行所在的计算机的名称。缺省情况下,该名称为 IBMEDSERV

客户机密钥库还包含服务器证书所在树的根证书,由客户机密钥库用于验证服务器证书。例如,client_authentication.kdb 密钥库包含了 IBM_SV1 证书所在树的根证书,并使用该根证书来验证 IBM_SV1。服务器密钥库包含客户机证书所在树的根证书,并将其用于验证客户机证书。

如果以安全方式启动 Rational DOORS 服务器,所有 Rational DOORS 客户机都将与服务器进行安全连接。如果不指定命令行开关,将使用以下缺省设置:
  • server_authentication.kdb 是服务器密钥库的名称
  • IBM_SV1 是证书的名称
  • IBMEDSERV 是服务器的名称

您可以更改缺省设置并根据规范设置您的系统。要指定自己的设置,请运行命令行开关以指定不同密钥库、证书名称或服务器名称。例如,可将 IBM_SV1 更改为不同证书名称,或将 IBMEDSERV 更改为不同服务器名称。

智能卡证书和专有名称

在使用智能卡时,客户机证书不在 Rational DOORS 客户机上。相反,客户机证书位于智能卡上,与用户关联的专有名称 (DN) 也同样位于智能卡上。智能卡上的证书通过证书标签进行标识。用户通过 DN 进行标识。DN 由以逗号分隔的“属性=值”对组成。
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

密钥库证书

使用密钥库证书时,证书位于密钥库中,与用户关联的专有名称 (DN) 也同样位于密钥库中。密钥库证书通过证书标签进行标识,而用户通过 DN 进行标识。DN 由以逗号分隔的“属性=值”对组成。
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

专有名称和管理员用户帐户

管理员用户帐户将绕过所有访问权检查,仅在绝对必要时才使用;例如,如果任何其他用户都无法登录,或者如果其他用户无法访问数据库的某个部分。如果要使用智能卡和证书,必须将专有名称 (DN) 与管理员用户关联,这样管理员用户才能访问数据库。

配置过程

要设置系统以使用智能卡和传输层安全性 (TLS) 证书:
  1. 设置用户。

    在为服务器启用卡认证之前,必须设置智能卡用户。通过将用户与专有名称关联来设置该用户。

  2. 将专有名称与管理员用户关联。

    必须将专有名称 (DN) 与管理员用户关联,这样管理员用户才能访问数据库。

  3. 启用数据库服务器中的智能卡认证。
  4. 启用客户机中的智能卡认证。

下一步要执行的操作

设置用户。如果要使用公共密钥基础结构 (PKI) 认证,请遵循设置 PKI 认证用户中的指示信息。如果要使用 Microsoft 证书库 (MCS) 认证,请遵循设置 MCS 认证用户中的指示信息。

视频图标 观看视频

CLM 播放列表
Jazz.net 频道
User Education 频道

学习图标 了解更多

CLM 学习圈
Agile 学习周期
学习圈

提问图标 提问

Jazz.net 论坛
developerWorks 论坛

支持图标 获取支持

支持门户网站
Deployment wiki
支持博客