V9.6.0.1: PKI 인증서 폐기 목록을 지원하도록 DOORS 구성

9.6.0.1 이상에서는 사용자 액세스 권한 관리를 위해 공개 키 인프라(PKI) 인증서 폐기 목록(CRL)을 사용하도록 IBM® Engineering Requirements Management DOORS®(DOORS)를 구성할 수 있습니다.

시작하기 전에

CRL을 사용하려면 PKI 지원 및 암호화 준수를 사용하도록 DOORS를 구성해야 합니다. 자세한 정보는 DOORS을 위한 스마트카드 및 인증서 구성을 참조하십시오.

이 태스크 정보

CRL은 폐기된 인증서를 식별하는 시간소인된 목록을 포함하는 서명된 데이터 구조입니다. 폐기된 인증서는 더 이상 신뢰되지 않아 인증에 사용할 수 없습니다. 일반적으로 CRL은 사용자의 고용 상태 또는 업무가 변경되거나, 사용자의 인증서 또는 개인 키가 노출되는 경우 액세스를 차단합니다.

클라이언트 인증서 및 CRL은 다음 조건에 부합해야 합니다.

사용자 인증에 PKI 인증서가 사용되는 경우에는 CRL을 지원하도록 데이터베이스 서버를 구성할 수 있습니다. CRL 지원이 사용으로 설정되면 서버는 사용자가 로그인할 때 클라이언트 인증서를 확인하여 이 인증서가 폐기되지 않았는지 확인합니다.

관리자는 dbadmin 명령을 사용하여 서버의 CRL 옵션을 설정합니다. 서버는 CRL 설정을 서버 로그에 전송합니다. CRL에 대한 진단 정보가 사용 가능한 경우 서버는 인증서가 유효성 검증될 때 이 정보를 로그합니다.

클라이언트를 열 때 서버 인증서의 CRL 확인을 수행하도록 DOORS 클라이언트를 설정할 수 있습니다. 명령행에서 doors.exe 명령을 사용하여 CRL 옵션을 지정하거나 레지스트리에 키 및 값을 설정하십시오. 클라이언트의 데이터베이스 특성을 볼 권한이 있는 사용자는 서버가 사용하는 CRL 옵션을 확인할 수 있습니다.

폐기된 사용자 인증서는 서버에 의해 거부되며 클라이언트가 다음 메시지를 표시합니다.
The user certificate was not validated.
Some possible reasons for the error:
1. the server does not trust the whole certificate chain
2. the user certificate has been revoked
3. the user certificate CRL is not available
DOORS will now exit.
서버 로그에는 다음 메시지가 게시됩니다.
received invalid socket: boost::exception_detail::clone_impl<class SecureCommsException>: GSKit SocInit failed: GSK_ERROR_BAD_CERT -- unable to validate the client certificate
- the certificate chain might not be trusted
- the certificate might be revoked
- the certificate CRL might not be available
폐기된 서버 인증서가 클라이언트에 의해 거부되면 클라이언트가 다음 메시지를 표시합니다.
Unable to validate the server certificate. The server certificate has been revoked.
DOORS will now exit.

서버는 사용 가능한 최신 옵션 설정을 사용하여 인증서를 유효성 검증합니다. CRL 옵션을 변경하는 경우에는 변경사항을 적용하려면 서버를 다시 시작해야 합니다.

참고: DOORS는 CRL에 대해 DER 형식만 지원합니다. IBM Engineering Requirements Management DOORS - Web Access(DWA)는 DER(2진) 및 PEM(Base-64) 형식을 모두 지원합니다.

프로시저

  1. 다음 dbadmin 명령 스위치 및 매개변수를 사용하여 DOORS 데이터베이스 서버에서 CRL에 대한 지원을 사용으로 설정하기 위한 옵션을 설정하십시오. dbadmin 명령을 사용하는 방법에 대한 세부사항은 데이터베이스 서버에 대한 명령행 스위치를 참조하십시오.
    dbadmin 스위치 및 매개변수 설명
    -useHttpCrl true | false

    사용자 인증의 CRL 확인을 사용으로 설정합니다.

    기본값: false

    -useHttpCrlCache true | false

    CRL 확인의 캐시 사용 여부를 결정합니다.

    기본값: false

    -httpCrlCacheSize size

    CRL 확인이 사용으로 설정된 경우에 캐시의 항목 수를 지정합니다. CRL의 크기가 클 수 있으므로 이 값을 32 이하로 설정하십시오.

    기본값: 32

    -httpCdpMaxResponseSize number-of-bytes

    CRL을 검색할 때 HTTP 서버로부터 수락되는 응답의 최대 크기입니다. 이 값은 CRL 파일 자체의 크기가 아닙니다.

    기본값: 204800바이트

    -httpCdpTimeout seconds

    CRL에 대한 HTTP 서버의 응답 대기 제한시간입니다.

    기본값: 5초

  2. 데이터베이스 서버의 CRL 옵션 설정을 확인하려면 다음 명령을 입력하십시오.
    dbadmin -showCrlOptions
  3. DOORS 클라이언트에서 CRL에 대한 지원을 사용으로 설정하려면 다음 태스크 중 하나를 수행하십시오.
    • 다음 예제에서와 같이 명령행에서 DOORS 클라이언트를 열 때 스위치 및 매개변수 값을 사용하십시오.
      doors.exe -useHttpCrl -httpCdpMaxResponseSize 500000 -httpCdpTimeout 10
    • 레지스트리의 DOORS 클라이언트 폴더에서 레지스트리 키 및 값을 설정하십시오. 레지스트리 위치의 예제는 다음과 같습니다.
      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Telelogic\DOORS\9.version\Config
    명령행 스위치 및 레지스트리 키 설명
    명령행 스위치: -useHttpCrl

    레지스트리 키: useHttpCrl

    클라이언트가 서버 인증서의 CRL 확인을 수행하도록 설정합니다. 이 명령행 스위치에는 매개변수값을 포함시키지 마십시오. CRL 확인은 기본적으로 사용으로 설정되어 있지 않습니다.

    레지스트리에 이 설정을 지정할 때는 useHttpCrl 키에 값을 포함시켜야 합니다. 이 값은 기본적으로 false입니다. 클라이언트의 CRL 확인을 사용으로 설정하려면 이 값을 true로 설정하십시오.

    명령행 스위치: -httpCdpMaxResponseSize number_of_bytes

    레지스트리 키: httpCdpMaxResponseSize

    CRL을 검색할 때 HTTP 서버로부터 수락되는 응답의 최대 크기를 설정합니다. 이 값은 CRL 파일 자체의 크기가 아닙니다.

    기본값: 204800바이트

    명령행 스위치: -httpCdpTimeout seconds

    레지스트리 키: httpCdpTimeout

    CRL에 대한 HTTP 서버의 응답 대기 제한시간을 설정합니다.

    기본값: 5초

  4. DOORS 클라이언트에서 CRL 옵션 설정을 보려면 로그인 특성 창을 열고 정책 탭을 클릭하십시오. 이 설정은 dbadmin 명령에 의해 설정되었으므로 클라이언트에서 읽기 전용입니다. CRL 폐기 확인 사용 선택란이 선택된 경우에는 CRL 옵션 단추를 클릭하여 데이터베이스 서버에 대해 설정된 옵션을 볼 수 있습니다.

비디오 아이콘 비디오

Jazz.net 채널
소프트웨어 교육 채널

학습 아이콘 교육 과정

IoT 아카데미
스킬 게이트웨이

질문 아이콘 커뮤니티

Jazz.net
Jazz.net 포럼
Jazz.net 라이브러리

지원 아이콘 지원

IBM 지원 센터 커뮤니티
배치 위키