Ab Version 9.6.0.1 können Sie IBM®
Engineering Requirements Management DOORS - Web
Access
(DWA) für die
Verwendung von Zertifikatswiderrufslisten (Certificate Revocation Lists, CRLs) der PKI (Public Key Infrastruktur) bei der Verwaltung
des Benutzerzugriffs konfigurieren.
Vorbereitende Schritte
Zur Verwendung von Zertifikatswiderrufslisten (CRLs) müssen Administratoren
DOORS
und
DWA so konfigurieren,
dass die PKI-Unterstützung und die Verschlüsselungskonformität aktiviert sind.
Informationen zu diesem Vorgang
Eine Zertifikatswiderrufsliste ist eine signierte Datenstruktur, die eine Liste mit einer Zeitmarke enthält, in der widerrufene Zertifikate angegeben sind. Widerrufene Zertifikate sind für die Authentifizierung nicht mehr vertrauenswürdig.
In der Regel wird der Zugriff durch Zertifikatswiderrufslisten blockiert, wenn sich der Beschäftigungsstatus eines Benutzers ändert oder wenn die Sicherheit des Zertifikats bzw. des privaten Schlüssels eines Benutzers beeinträchtigt ist.
Clientzertifikate und Zertifikatswiderrufslisten müssen folgende Bedingungen erfüllen:
- Eine Zertifizierungsstelle (Certificate Authority, CA) muss das Clientzertifikat signieren und erweiterte Informationen wie die URL in die CRL-Datei einbetten. Wenn ein Clientzertifikat keine gültigen CRL-Erweiterungsdetails enthält, wird das Zertifikat abgelehnt.
- Wenn eine Zertifikatswiderrufsliste abgelaufen ist, werden von Apache Tomcat Verbindungen zum Service abgelehnt.
- Wenn eine ältere CRL-Datei geladen wird, die noch nicht abgelaufen ist, wird die neue Zertifikatswiderrufsliste mit den widerrufenen Zertifikaten nicht geladen.
- Wenn ein widerrufenes Zertifikat in einer neuen CRL-Datei aufgelistet wird, die noch nicht geladen ist, können die Benutzer auf der Widerrufsliste trotzdem auf die Anwendung zugreifen.
Anmerkung: DWA unterstützt sowohl
das Format DER (binär) als auch das Format PEM (Base64) für Zertifikatswiderrufslisten. DOORS
unterstützt nur das Format DER.
Vorgehensweise
Wenn Sie DWA für
die Unterstützung von Zertifikatswiderrufslisten konfigurieren möchten, ändern Sie das Script, das zum Starten des Apache Tomcat-Servers verwendet wird.
- Öffnen Sie das Startscript für den Apache Tomcat-Server in einem Editor.
- Auf Windows-Systemen befindet sich die
Scriptdatei server.start.bat im Installationsverzeichnis von DWA
(z. B. C:\Program Files\IBM\Rational\DOORS Web Access\9.version).
- Auf Linux-Systemen befindet sich die Scriptdatei server.start.sh
im Installationsverzeichnis von
DWA.
- Legen Sie die Systemeigenschaften zum Aktivieren der Unterstützung für die Zertifikatswiderrufslisten fest.
Anmerkung: Das SSL-Debugging kann durch Hinzufügen der folgenden Systemeigenschaft aktiviert werden:
-Djavax.net.debug=sslor
oder
-Djavax.net.debug=ssl,handshake
- Speichern und schließen Sie die Startscriptdatei.