Dans la version 9.6.0.1 et les versions postérieures, vous pouvez configurer
IBM®
Engineering Requirements Management DOORS - Web
Access
(DWA)
pour qu'il utilise des listes de retrait de certificat (CRL) d'infrastructure à clés publiques (PKI) pour la gestion des accès utilisateur.
Avant de commencer
Pour utiliser des CRL, les administrateurs doivent configurer
DOORS
et
DWA pour activer la prise en charge de l'infrastructure PKI
et la conformité du chiffrement.
Pourquoi et quand exécuter cette tâche
Une liste de révocation de certificat est une structure de données signée contenant une liste horodatée qui identifie
des certificats révoqués. Les certificats révoqués ne sont plus dignes de confiance pour l'authentification.
Généralement, les listes de révocation de certificat bloquent l'accès lorsque le statut d'emploi ou l'affectation d'un utilisateur change ou lorsque le certificat d'un utilisateur ou de la clé privée correspondante est compromis.
Les certificats client et les listes de révocation de certificat doivent remplir les conditions suivantes :
- Une autorité de certification doit signer la demande de certificat client et intégrer des informations étendues telles
que l'URL du fichier CRL. Si le certificat client
ne contient pas de détails d'extension de liste de révocation de certificat valides, le certificat est rejeté.
- Si la liste de révocation de certificat est arrivée à expiration, Apache Tomcat refuse les connexions au service.
- Si un ancien fichier de liste de révocation de certificat (CRL) qui n'est pas arrivé à expiration est chargé, la nouvelle liste de révocation de certificat comportant les certificats révoqués n'est pas chargée.
- Si un certificat révoqué est répertorié dans un nouveau fichier de liste CRL qui n'a pas encore été chargé,
les utilisateurs de la liste de révocation peuvent toujours accéder à l'application.
Remarque : DWA
prend en charge les formats DER (binaire) et PEM (base-64) pour les listes CRL.
DOORS prend uniquement en charge le format DER.
Procédure
Pour configurer DWA
pour qu'il prenne en charge les listes CRL, modifiez le script qui est
utilisé pour démarrer le serveur Apache Tomcat.
- Ouvrez le script de démarrage pour le serveur Apache Tomcat dans un éditeur.
- Sous Windows, le fichier script
server.start.bat se trouve dans le répertoire d'installation de
DWA ; par exemple,
C:\Program Files\IBM\Rational\DOORS Web Access\9.version.
- Sur les systèmes Linux, le fichier script server.start.sh
se trouve dans le répertoire d'installation de
DWA.
- Définissez les propriétés système pour activer la prise en charge des listes de révocation de certificat.
Remarque : Le débogage SSL peut être activé en ajoutant la propriété système suivante :
-Djavax.net.debug=sslor
ou
-Djavax.net.debug=ssl,handshake
- Enregistrez et fermez le fichier script de démarrage.