Version 9.6.0.1: DWA für die Unterstützung von PKI-Zertifikatswiderrufslisten konfigurieren

Ab Version 9.6.0.1 können Sie IBM® Engineering Requirements Management DOORS - Web Access (DWA) für die Verwendung von Zertifikatswiderrufslisten (Certificate Revocation Lists, CRLs) der PKI (Public Key Infrastruktur) bei der Verwaltung des Benutzerzugriffs konfigurieren.

Vorbereitende Schritte

Zur Verwendung von Zertifikatswiderrufslisten (CRLs) müssen Administratoren DOORS und DWA so konfigurieren, dass die PKI-Unterstützung und die Verschlüsselungskonformität aktiviert sind.

Informationen zu diesem Vorgang

Eine Zertifikatswiderrufsliste ist eine signierte Datenstruktur, die eine Liste mit einer Zeitmarke enthält, in der widerrufene Zertifikate angegeben sind. Widerrufene Zertifikate sind für die Authentifizierung nicht mehr vertrauenswürdig. In der Regel wird der Zugriff durch Zertifikatswiderrufslisten blockiert, wenn sich der Beschäftigungsstatus eines Benutzers ändert oder wenn die Sicherheit des Zertifikats bzw. des privaten Schlüssels eines Benutzers beeinträchtigt ist.

Clientzertifikate und Zertifikatswiderrufslisten müssen folgende Bedingungen erfüllen:

Anmerkung: DWA unterstützt sowohl das Format DER (binär) als auch das Format PEM (Base64) für Zertifikatswiderrufslisten. DOORS unterstützt nur das Format DER.

Vorgehensweise

Wenn Sie DWA für die Unterstützung von Zertifikatswiderrufslisten konfigurieren möchten, ändern Sie das Script, das zum Starten des Apache Tomcat-Servers verwendet wird.

  1. Öffnen Sie das Startscript für den Apache Tomcat-Server in einem Editor.
    • Auf Windows-Systemen befindet sich die Scriptdatei server.start.bat im Installationsverzeichnis von DWA (z. B. C:\Program Files\IBM\Rational\DOORS Web Access\9.version).
    • Auf Linux-Systemen befindet sich die Scriptdatei server.start.sh im Installationsverzeichnis von DWA.
  2. Legen Sie die Systemeigenschaften zum Aktivieren der Unterstützung für die Zertifikatswiderrufslisten fest.
    • Fügen Sie den folgenden Code auf Windows-Systemen am Ende der Datei vor dem Eintrag cd %CATALINA_HOME%\bin hinzu:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.checkRevocation=true -Dcom.ibm.security.enableCRLDP=true
    • Fügen Sie den folgenden Code auf Linux-Systemen vor dem Eintrag export JAVA_OPTS hinzu:
      JAVA_OPTS=$JAVA_OPTS -Dcom.ibm.jsse2.checkRevocation=true -Dcom.ibm.security.enableCRLDP=true
    Anmerkung: Das SSL-Debugging kann durch Hinzufügen der folgenden Systemeigenschaft aktiviert werden:
    -Djavax.net.debug=sslor 
    oder
    -Djavax.net.debug=ssl,handshake
  3. Speichern und schließen Sie die Startscriptdatei.

Beispiel

Beispiele zum Ausführen weiterer Bearbeitungsvorgänge im Startscript finden Sie im Abschnitt DWA für die Konformität mit FIPS 140-2 konfigurieren.

Videosymbol Video

Jazz.net-Kanal
Software Education-Kanal

Lernsymbol Kurse

IoT Academy
Skill-Gateway

Fragesymbol Community

Jazz.net
Jazz.net-Foren
Jazz.net-Bibliothek

Supportsymbol Support

IBM Support-Community
Bereitstellungs-Wiki