9.6.0.1 版:配置 DOORS 來支援 PKI 憑證撤銷清冊

在 9.6.0.1 版以及更新版本中,您可以配置 IBM® Engineering Requirements Management DOORS® (DOORS) 使用公開金鑰基礎架構 (PKI) 憑證撤銷清冊 (CRL) 來管理使用者存取。

開始之前

如果要使用 CRL,管理者必須配置 DOORS 來啟用 PKI 支援及加密標準。如需詳細資料,請參閱配置 DOORS 的智慧卡和憑證

關於這項作業

CRL 是簽署的資料結構,其中包含時間戳記清單來識別撤銷的憑證。撤銷的憑證不再於鑑別中受到信任。當使用者的僱用狀態或指派變更時,或當使用者的憑證或對應的私密金鑰已受損時,CRL 通常會禁止存取。

用戶端憑證和 CRL 必須符合這些條件:

如果使用者鑑別使用 PKI 憑證,您可以配置資料庫伺服器來支援 CRL。啟用 CRL 的支援後,當使用者嘗試登入來確認憑證未撤銷時,伺服器會檢查用戶端憑證。

管理者使用 dbadmin 指令來設定伺服器的 CRL 選項。伺服器會將 CRL 設定傳送至伺服器日誌。如果有 CRL 的相關診斷資訊,則伺服器在驗證憑證時會記載此資訊。

您可以讓 DOORS 用戶端在您開啟用戶端時對伺服器憑證執行 CRL 檢查。在指令行使用 doors.exe 指令,或在登錄中設定機碼和值,以指定 CRL 選項。有權限在用戶端檢視資料庫內容的使用者,可以檢查伺服器使用的 CRL 選項。

如果撤銷的使用者憑證遭到伺服器拒絕,用戶端會顯示這個訊息:
使用者憑證未驗證。
錯誤的部分可能原因:
1. 伺服器不信任整個憑證鏈
2. 已撤銷使用者憑證
3. 使用者憑證 CRL 無法使用
DOORS 將立即結束。
伺服器日誌中會張貼下列訊息:
received invalid socket: boost::exception_detail::clone_impl<class SecureCommsException>: GSKit SocInit failed: GSK_ERROR_BAD_CERT -- unable to validate the client certificate
- the certificate chain might not be trusted
- the certificate might be revoked
- the certificate CRL might not be available
如果撤銷的伺服器憑證遭到用戶端拒絕,用戶端會顯示這個訊息:
無法驗證伺服器憑證。已撤銷伺服器憑證。
DOORS 將立即結束。

伺服器會使用最新可用的選項設定來驗證憑證。如果您變更 CRL 選項,則必須重新啟動伺服器來套用變更。

註: DOORS 僅支援 DER 格式的 CRL。IBM Engineering Requirements Management DOORS - Web Access (DWA) 同時支援 DER(二進位)與 PEM (Base-64) 格式。

程序

  1. 使用這些 dbadmin 指令切換參數及參數來設定選項,以在 DOORS 資料庫伺服器上啟用 CRL 的支援。如需如何使用 dbadmin 指令的詳細資訊,請參閱資料庫伺服器的指令行切換參數
    dbadmin 切換參數及參數 說明
    -useHttpCrl true | false

    針對使用者鑑別啟用 CRL 檢查。

    預設值:false

    -useHttpCrlCache true | false

    決定 CRL 檢查是否使用快取。

    預設值:false

    -httpCrlCacheSize size

    指定 CRL 檢查啟用時快取中的項目數。請將這個值設為 32 或更小,因為 CRL 可能很大。

    預設值:32

    -httpCdpMaxResponseSize number-of-bytes

    擷取 CRL 時從 HTTP 伺服器接受的回應大小上限。這個值不是 CRL 檔本身的大小。

    預設值:204800 位元組

    -httpCdpTimeout seconds

    等待 HTTP 伺服器回應 CRL 的逾時。

    預設值:5 秒

  2. 如果要在資料庫伺服器上檢查 CRL 選項設定,請輸入這個指令:
    dbadmin -showCrlOptions
  3. 如果要在 DOORS 用戶端啟用 CRL 的支援,請執行下列其中一項作業:
    • 當您從指令行開啟 DOORS 用戶端時,使用切換參數及參數值,如下列範例所示:
      doors.exe -useHttpCrl -httpCdpMaxResponseSize 500000 -httpCdpTimeout 10
    • 在登錄中的 DOORS 用戶端資料夾中設定登錄機碼和值。以下是登錄位置的範例:
      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Telelogic\DOORS\9.version\Config
    指令行切換參數及登錄機碼 說明
    指令行切換參數:-useHttpCrl

    登錄機碼:useHttpCrl

    讓用戶端對伺服器憑證執行 CRL 檢查。這個指令行切換參數不可包含參數值。依預設不會啟用 CRL 檢查。

    當您在登錄中指定這項設定時,useHttpCrl 機碼必須包含值。依預設,值為 false。將值設為 true 可讓用戶端啟用 CRL 檢查。

    指令行切換參數:-httpCdpMaxResponseSize number_of_bytes

    登錄機碼: httpCdpMaxResponseSize

    設定擷取 CRL 時從 HTTP 伺服器接受的回應大小上限。這個值不是 CRL 檔本身的大小。

    預設值:204800 位元組

    指令行切換參數:-httpCdpTimeout seconds

    登錄機碼: httpCdpTimeout

    設定等待 HTTP 伺服器回應 CRL 的逾時。

    預設值:5 秒

  4. 如果要在 DOORS 用戶端中檢視 CRL 選項設定, 請開啟「登入內容」視窗,然後按一下原則標籤。 這些設定在用戶端中是唯讀的,因為它們是使用 dbadmin 指令所設定。如果選取啟用 CRL 撤銷檢查勾選框,您可以按一下 CRL 選項按鈕,以檢視資料庫伺服器已設定的選項。

視訊圖示視訊

Jazz.net 頻道
Software Education 頻道

學習圖示課程

IoT 線上學院
Skills Gateway

提問圖示社群

Jazz.net
Jazz.net 討論區
Jazz.net 檔案庫

支援圖示支援

IBM 支援中心社群
部署 Wiki