智能卡和 TLS 证书

传输层安全性 (TLS) 证书提供 IBM® Engineering Requirements Management DOORS® (DOORS) 服务器与 DOORS 客户机之间的安全加密通信。当用户使用智能卡登录到 DOORS 时,将使用 TLS 证书。

TLS 证书和密钥库

客户机将证书发送到服务器以进行验证,而服务器将证书发送到客户机以进行验证。验证由密钥库执行。客户机密钥库验证服务器证书,而服务器密钥库验证客户机证书。

证书可按照树结构进行组织,根证书位于树的顶部。树中的所有证书都继承根证书的可信度。密钥库可分别验证每个证书。如果密钥库验证根证书,那么也将验证每个证书。

缺省情况下,DOORS 安装时随附 IBM GSKit 提供的 TLS 证书,以及两个可供使用的密钥库。

这些密钥库位于 certdb 文件夹中。客户机密钥库为 client_authentication.kdb,服务器密钥库为 server_authentication.kdb

client_authentication.kdb 密钥库包含由客户机发送到服务器的名为 IBM_CL1 的证书,server_authentication.kdb 密钥库包含由服务器发送到客户机的名为 IBM_SV1 的证书。IBM_SV1 证书包含服务器运行所在的计算机的名称。缺省情况下,该名称为 IBMEDSERV

客户机密钥库还包含服务器证书所在树的根证书,由客户机密钥库用于验证服务器证书。例如,client_authentication.kdb 密钥库包含了 IBM_SV1 证书所在树的根证书,并使用该根证书来验证 IBM_SV1。服务器密钥库包含客户机证书所在树的根证书,并将其用于验证客户机证书。

如果以安全方式启动 DOORS 服务器,那么所有 DOORS 客户机都将与服务器进行安全连接。如果不指定命令行开关,将使用以下缺省设置:
  • server_authentication.kdb 是服务器密钥库的名称
  • IBM_SV1 是证书的名称
  • IBMEDSERV 是服务器的名称

您可以更改缺省设置并根据规范设置您的系统。要指定自己的设置,请运行命令行开关以指定不同密钥库、证书名称或服务器名称。例如,可将 IBM_SV1 更改为不同证书名称,或将 IBMEDSERV 更改为不同服务器名称。

智能卡证书和专有名称

使用智能卡时,客户机证书不在 DOORS 客户机上。相反,客户机证书位于智能卡上,与用户关联的专有名称 (DN) 也同样位于智能卡上。智能卡上的证书通过证书标签进行标识。用户通过 DN 进行标识。DN 由以逗号分隔的“属性=值”对组成。
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

密钥库证书

使用密钥库证书时,证书位于密钥库中,与用户关联的专有名称 (DN) 也同样位于密钥库中。密钥库证书通过证书标签进行标识,而用户通过 DN 进行标识。DN 由以逗号分隔的“属性=值”对组成。
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

专有名称和管理员用户帐户

管理员用户帐户将绕过所有访问权检查,仅在绝对必要时才使用;例如,如果任何其他用户都无法登录,或者如果其他用户无法访问数据库的某个部分。如果要使用智能卡和证书,必须将专有名称 (DN) 与管理员用户关联,这样管理员用户才能访问数据库。

配置过程

要设置系统以使用智能卡和传输层安全性 (TLS) 证书:
  1. 设置用户。

    在为服务器启用卡认证之前,必须设置智能卡用户。通过将用户与专有名称关联来设置该用户。

  2. 将专有名称与管理员用户关联。

    必须将专有名称 (DN) 与管理员用户关联,这样管理员用户才能访问数据库。

  3. 启用数据库服务器中的智能卡认证。
  4. 启用客户机中的智能卡认证。

下一步要执行的操作

设置用户。如果要使用公共密钥基础结构 (PKI) 认证,请遵循设置 PKI 认证用户中的指示信息。如果要使用 Microsoft 证书库 (MCS) 认证,请遵循设置 MCS 认证用户中的指示信息。

视频图标 视频

Jazz.net 频道
软件培训频道

学习图标 课程

IoT Academy
Skills Gateway

提问图标 社区

Jazz.net
Jazz.net 论坛
Jazz.net 库

支持图标 支持

IBM 支持机构社区
Deployment Wiki