Сертификаты TLS обеспечивают безопасное соединение между сервером DOORS и клиентом DOORS.
Клиент отправляет сертификат серверу для проверки, а сервер отправляет сертификат клиенту.
Проверка выполняется хранилищами ключей. Хранилище ключей клиента проверяет сертификат сервера, а хранилище ключей сервера проверяет сертификат клиента.
Сертификаты образуют иерархическую структуру, на верхнем уровне которой расположен корневой сертификат. Все сертификаты в дереве наследуют уровень доверия корневого сертификата. Хранилища ключей могут проверять каждый сертификат отдельно. Если хранилище ключей успешно проверяет корневой сертификат, то все остальные сертификаты остальные сертификаты также проходят проверку.
По умолчанию DOORS устанавливается с сертификатами TLS, предоставленными IBM GSKIT, и двумя готовыми к использованию хранилищами ключей.
Хранилища ключей расположены в папке certdb. Хранилище ключей клиента: client_authentication.kdb, хранилище ключей сервера: server_authentication.kdb.
Хранилище ключей client_authentication.kdb содержит сертификат IBM_CL1, который клиент может отправить серверу, а хранилище ключей server_authentication.kdb содержит сертификат IBM_SV1, который сервер может отправить клиенту. IBM_SV1 содержит имя системы, в которой выполняется сервер. Значение по умолчанию: IBMEDSERV.
Кроме того, хранилище ключей клиента содержит корневой сертификат иерархической структуры, в состав которой входит сертификат сервера. В результате хранилище ключей клиента может проверять сертификат сервера. Например, client_authentication.kdb содержит корневой сертификат дерева, которое содержит IBM_SV1, и использует его для проверки IBM_SV1. Хранилище ключей сервера содержит корневой сертификат иерархической структуры, содержащей сертификат клиента; он применяется для проверки сертификата клиента.
Если сервер DOORS запускается без изменения стандартных параметров, по умолчанию применяется эта конфигурация сертификатов и хранилищ ключей сервера, и все клиенты DOORS устанавливают защищенные соединения с сервером.
Параметры по умолчанию можно изменить, чтобы настроить систему с учетом конкретных спецификаций. Для этой цели укажите другое хранилище ключей, имя сертификата или имя сервера с помощью параметров командной строки. Например, вместо IBM_SV1 и IBMEDSERV можно указать другие значения.
Если используется смарт-карта, клиентский сертификат не располагается непосредственно в клиенте DOORS. Сертификат расположен на смарт-карте вместе с отличительным именем (DN) пользователя. Роль идентификатора сертификата смарт-карты выполняет метка сертификата. В качестве идентификатора пользователя применяется DN. DN состоит из пар атрибут=значение, перечисленных через запятую; пример:
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales
Канал Software Education |
Шлюз навыков |
Форумы Jazz.net Библиотека Jazz.net |
Вики о развертывании |