バージョン 9.6.0.1 以降では、ユーザー・アクセス管理に Public Key Infrastructure (PKI) 証明書失効リスト (CRL) を
使用するように IBM®
Engineering Requirements Management DOORS® - Web
Access
(DWA) を
構成できます。
始める前に
CRL を使用するには、管理者が、PKI サポートと暗号化準拠を
有効にするように
DOORS および
DWA を
構成する必要があります。
このタスクについて
CRL は、失効した証明書が識別されるタイム・スタンプ付きリストが含まれる署名付きデータ構造体です。
失効した証明書は、認証用には信頼されなくなっています。
通常、ユーザーの雇用状況や地位が変わったとき、またはユーザーの証明書や、
それに対応する秘密鍵が漏えいしたときに、CRL によってアクセスがブロックされます。
クライアント証明書および CRL は、以下の条件を満たしていなければなりません。
- 認証局 (CA) がクライアント証明書要求に署名して拡張情報 (CRL ファイルへの URL など) を組み込む必要があります。
有効な CRL 拡張詳細が含まれていないクライアント証明書は拒否されます。
- CRL の有効期限が切れた場合、Apache Tomcat はサービスへの接続を拒否します。
- 有効期限が切れていない古い CRL ファイルがロードされた場合、失効した証明書を持つ新しい CRL はロードされません。
- 失効した証明書が、まだロードされていない新しい CRL ファイルにリストされている場合、
失効リストに含まれるユーザーは依然としてアプリケーションにアクセスできます。
注: DWA は CRL に対して DER (バイナリー) 形式と PEM (Base64) 形式の両方をサポートしています。
DOORS は DER 形式のみをサポートしています。
手順
CRL をサポートするように DWA を構成するには、Apache Tomcat サーバーの始動に使用される
スクリプトを変更します。
- Apache Tomcat サーバーの始動スクリプトをエディターで開きます。
- Windows システムの場合、server.start.bat スクリプト・ファイルは DWA インストール・ディレクトリー (例: C:¥Program Files¥IBM¥Rational¥DOORS Web Access¥9.version) にあります。
- Linux システムの場合、server.start.sh スクリプト・ファイルは、DWA インストール・ディレクトリーにあります。
- CRL サポートが有効になるようにシステム・プロパティーを設定します。
注: 次のシステム・プロパティーを追加すれば、SSL デバッグを有効にすることができます。
-Djavax.net.debug=sslor
または
-Djavax.net.debug=ssl,handshake
- 始動スクリプト・ファイルを保存して閉じます。