Na versão 9.6.0.1 e mais recente, é possível configurar o IBM®
Engineering Requirements Management DOORS - Web
Access (DWA) para
usar as listas de revogação de certificado (CRLs) de infraestrutura de chave pública (PKI) para gerenciar o acesso
de usuário.
Antes de Iniciar
Para usar CRLs, os administradores devem configurar o
DOORS e o
DWA para
ativar o suporte a PKI e a conformidade de criptografia.
Sobre Esta Tarefa
Uma CRL é uma estrutura de dados assinados que contém uma lista com registro de data e hora que identifica
os certificados revogados. Os certificados
revogados não são mais confiáveis para autenticação.
Geralmente, as CRLs bloqueiam o
acesso quando o status de emprego ou a designação de um usuário muda, ou quando o
certificado ou a chave privada correspondente de um usuário é comprometido.
Os certificados de cliente e as CRLs devem atender a estas condições:
- Uma Autoridade de Certificação (CA) deve assinar a solicitação de certificado de cliente e integrar
informações estendidas, como a URL para o arquivo CRL. Se o certificado de cliente
não contiver detalhes da extensão de CRL válidos, o certificado será rejeitado.
- Se a CRL estiver expirada, o Apache Tomcat recusará conexões com o serviço.
- Se um arquivo CRL mais antigo que não expirou for carregado, a nova CRL com certificados
revogados não será carregada.
- Se um certificado revogado for listado em um novo arquivo CRL que ainda não
foi carregado, os usuários na lista de revogação de certificado ainda poderão acessar o aplicativo.
Nota: O DWA
suporta formatos DER (binário) e PEM (base-64) para CRLs. O DOORS
suporta apenas o formato DER.
Procedimento
Para configurar o DWA para suportar CRLs, modifique o script que é usado para iniciar o servidor Apache Tomcat.
- Abra o script de inicialização para o servidor Apache Tomcat em um editor.
- Nos sistemas Windows, o
arquivo de script server.start.bat está no
diretório de instalação do DWA;
por exemplo, C:\Program Files\IBM\Rational\DOORS Web
Access\9.version.
- Em sistemas Linux, o arquivo de script server.start.sh
está no diretório de instalação do DWA.
- Configure as propriedades de sistema para ativar o suporte de CRL.
Nota: A depuração de SSL pode ser ativada incluindo esta propriedade de sistema:
-Djavax.net.debug=sslor
ou
-Djavax.net.debug=ssl,handshake
- Salve e feche o arquivo de script de inicialização.