버전 9.6.0.1 이상에서 사용자 액세스를 관리하기 위해 PKI(Public Key Infrastructure) 인증서 폐기 목록(CRL)을 사용하도록 IBM®
Engineering Requirements Management DOORS® - Web
Access
(DWA)를 구성할 수 있습니다.
시작하기 전에
CRL을 사용하려면 관리자는 PKI 지원 및 암호화 준수를 사용하도록
DOORS
및
DWA를 구성해야 합니다.
이 태스크 정보
CRL은 폐기된 인증서를 식별하는 시간소인된 목록을 포함하는 서명된 데이터 구조입니다. 폐기된 인증서는 더 이상 신뢰되지 않아 인증에 사용할 수 없습니다. 일반적으로 CRL은 사용자의 고용 상태 또는 업무가 변경되거나, 사용자의 인증서 또는 개인 키가 노출되는 경우 액세스를 차단합니다.
클라이언트 인증서 및 CRL은 다음 조건에 부합해야 합니다.
- 인증 기관(CA)은 클라이언트 인증서 요청에 서명하고 CRL 파일에 대한 URL 같이 확장 정보를 임베드해야 합니다. 클라이언트 인증서에 유효한 CRL 확장 세부사항이 포함되지 않은 경우에는 인증서가 거부됩니다.
- CRL이 만료되면 Apache Tomcat이 서비스에 대한 연결을 거부합니다.
- 만료되지 않은 오래된 CRL 파일을 로드하면 취소된 인증서가 있는 새 CRL이 로드되지 않습니다.
- 폐기된 인증서가 아직 로드되지 않은 새 CRL 파일에 나열되면 폐기 목록에 있는 사용자가 여전히 애플리케이션에 액세스할 수 있습니다.
참고: DWA에서는
CRL에 대해 DER(2진) 및 PEM(기본 64) 형식을 지원합니다. DOORS에서만
DER 형식을 지원합니다.
프로시저
CRL을 지원하도록 DWA를 구성하려면
Apache Tomcat 서버를 시작하는 데 사용하는 스크립트를 수정하십시오.
- 편집기에서 Apache Tomcat 서버에 대한 시작 스크립트를 여십시오.
- Windows 시스템에서
server.start.bat 스크립트 파일이 DWA
설치 디렉토리에 있습니다(예: C:\Program Files\IBM\Rational\DOORS Web
Access\9.version).
- Linux 시스템에서 server.start.sh 스크립트 파일은
DWA
설치 디렉토리에 있습니다.
- CRL 지원을 사용하도록 시스템 특성을 설정하십시오.
참고: SSL 디버깅은 이 시스템 특성을 추가하여 사용으로 설정될 수 있습니다.
-Djavax.net.debug=sslor
또는
-Djavax.net.debug=ssl,handshake
- 시작 스크립트 파일을 저장하고 닫으십시오.