在 V9.6.0.1 和更高版本中,您可以将 IBM®
Engineering Requirements Management DOORS® - Web
Access (DWA) 配置为使用公共密钥基础结构 (PKI) 证书撤销列表 (CRL) 来管理用户访问权。
开始之前
要使用 CRL,管理员必须配置
DOORS 和
DWA 以启用 PKI 支持和加密合规性。
关于此任务
CRL 是已签署的数据结构,此结构包含一个带时间戳记的列表来标识已撤销的证书。认证将不再信任已撤销的证书。通常情况下,当用户的雇佣状态或任务发生更改时,或者当用户的证书或对应专用密钥受损时,CRL 会阻止访问。
客户机证书和 CRL 必须满足以下条件:
- 认证中心 (CA) 必须签署客户机证书请求并嵌入扩展的信息,例如 CRL 文件的 URL。如果客户机证书不包含有效的 CRL 扩展详细信息,那么将拒绝该证书。
- 如果 CRL 已到期,那么 Apache Tomcat 将拒绝与服务的连接。
- 如果装入了尚未到期的较旧 CRL 文件,那么不会装入带有已撤销证书的新 CRL。
- 如果在尚未装入的新 CRL 文件中列出了已撤销的证书,那么撤销列表上的用户仍然可以访问应用程序。
注: DWA 针对 CRL 同时支持 DER(二进制)和 PEM (base-64) 格式。DOORS 仅支持 DER 格式。
过程
要配置 DWA 以支持 CRL,请修改用于启动 Apache Tomcat 服务器的脚本。
- 在编辑器中打开 Apache Tomcat 服务器的启动脚本。
- 在 Windows 系统上,server.start.bat 脚本文件位于 DWA 安装目录中;例如 C:\Program Files\IBM\Rational\DOORS Web Access\9.version。
- 在 Linux 系统上,server.start.sh 脚本文件位于 DWA 安装目录中。
- 设置系统属性以启用 CRL 支持。
注: 可通过添加以下系统属性来启用 SSL 调试:
-Djavax.net.debug=sslor
或
-Djavax.net.debug=ssl,handshake
- 保存并关闭该启动脚本文件。