Начиная с версии 9.6.0.1, в IBM®
Engineering Requirements Management DOORS - Web
Access
(DWA) можно настроить использование списков аннулированных сертификатов (CRL) инфраструктуры общих ключей (PKI) для управления доступом пользователей.
Прежде чем начать
Для применения CRL администраторы должны настроить
DOORS и
DWA для поддержки PKI и соответствия требованиям шифрования.
Об этой задаче
CRL - это структура подписанных данных, содержащая список
аннулированных сертификатов с метками времени. Аннулированные
сертификаты отклоняются в процессе идентификации.
Как правило, CRL блокируют доступ в случае изменения состояния
пользователя или в случае раскрытия сертификата пользователя или
его личного ключа.
Сертификаты клиентов и CRL должны соответствовать следующим
условиям:
- Сертификатная компания (CA) должна подписать запрос сертификата
клиента и добавить расширенную информацию, такую как URL файла CRL. Если сертификат клиента содержит недопустимые данные о
расширении CRL, то сертификат отклоняется.
- Если срок действия CRL истек, то Apache Tomcat отклоняет
соединения со службой.
- В случае загрузки старого файла CRL, срок действия которого еще
не истек, новый CRL с аннулированными сертификатами не загружается.
- Если аннулированный сертификат указан в новом файле CRL, который
еще не загружен, то пользователи списка аннулированных сертификатов
смогут получить доступ к приложению.
Прим.: DWA
поддерживает списки аннулированных сертификатов в форматах DER (двоичный) и PEM (base-64). В DOORS поддерживается только формат DER.
Процедура
Для настройки поддержки CRL в DWA отредактируйте сценарий, применяемый для запуска Apache Tomcat server.
- Откройте сценарий запуска сервера Apache
Tomcat в редакторе.
- В системах Windows файл сценария server.start.bat находится в каталоге установки DWA; например C:\Program Files\IBM\Rational\DOORS Web Access\9.версия.
- В системах Linux файл сценария server.start.sh находится в установочном каталоге DWA.
- Укажите системные свойства для включения поддержки CRL.
Прим.: Отладку SSL можно включить путем добавления следующего системного свойства:
-Djavax.net.debug=sslor
или
-Djavax.net.debug=ssl,handshake
- Сохраните и закройте файл сценария запуска.