智慧卡和 TLS 憑證

傳輸層安全 (TLS) 憑證可在 Rational® DOORS® 伺服器和 Rational DOORS 用戶端之間,提供安全且加密的通訊。 當使用者使用智慧卡登入 Rational DOORS 時,就會使用 TLS 憑證。

TLS 憑證和金鑰儲存庫

用戶端傳送憑證至伺服器以進行驗證,而伺服器也會傳送憑證至用戶端以進行驗證。 驗證會由金鑰儲存庫執行。 用戶端金鑰儲存庫會驗證伺服器憑證,而伺服器金鑰儲存庫會驗證用戶端憑證。

憑證可依據樹狀結構方式加以組織,主要憑證是在樹狀結構頂端。 樹狀結構中的所有憑證會繼承主要憑證的可信度。 金鑰儲存庫可個別驗證每個憑證。 如果金鑰儲存庫驗證主要憑證,則每個憑證也都會受到驗證。

依預設,Rational DOORS 在安裝時隨附 IBM® GSKIT 所提供的 TLS 憑證,以及備妥可用的兩個金鑰儲存庫。

金鑰儲存庫是在 certdb 資料夾中。用戶端金鑰儲存庫是 client_authentication.kdb,而伺服器金鑰儲存庫是 server_authentication.kdb

client_authentication.kdb 金鑰儲存庫包含用戶端可傳送至伺服器的憑證(名稱為 IBM_CL1),而 server_authentication.kdb 金鑰儲存庫包含伺服器可傳送至用戶端的憑證(名稱為 IBM_SV1)。 IBM_SV1 憑證包含伺服器執行所在的電腦名稱。 依預設,名稱是 IBMEDSERV

用戶端金鑰儲存庫也包含樹狀結構(包含伺服器憑證)的主要憑證,供用戶端金鑰儲存庫用來驗證伺服器憑證。 舉例來說,client_authentication.kdb 金鑰儲存庫包含樹狀結構(包含 IBM_SV1 憑證)的主要憑證,並使用主要憑證來驗證 IBM_SV1。 伺服器金鑰儲存庫包含樹狀結構(包含用戶端憑證)的主要憑證,並用來驗證用戶端憑證。

如果您以安全模式啟動 Rational DOORS 伺服器,所有 Rational DOORS 用戶端都會與伺服器建立安全連線。 如果您未指定指令行參數,則會使用下列預設值:
  • server_authentication.kdb 是伺服器金鑰儲存庫的名稱
  • IBM_SV1 是憑證名稱
  • IBMEDSERV 是伺服器名稱

您可以變更預設值,以及依您的指定來設定系統。 如果要指定您自己的設定,請執行指令行參數來指定不同的金鑰儲存庫、憑證名稱或伺服器名稱。 例如,您可以將 IBM_SV1 變更為不同的憑證名稱,或將 IBMEDSERV 變更為不同的伺服器名稱。

智慧卡憑證和識別名稱

在您使用智慧卡時,用戶端憑證不是在 Rational DOORS 用戶端上。反之,用戶端憑證是在智慧卡上,且附上與使用者相關聯的識別名稱 (DN)。 智慧卡上的憑證是以憑證標籤作為識別。 使用者是以 DN 作為識別。 DN 是由屬性=值配對所組成,以逗點分隔:
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

金鑰儲存庫憑證

當您使用金鑰儲存庫憑證時,憑證是在金鑰儲存庫中,且附上與使用者相關聯的識別名稱 (DN)。 金鑰儲存庫憑證是以憑證標籤作為識別,而使用者是以 DN 作為識別。 DN 是由屬性=值配對所組成,以逗點分隔:
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

識別名稱和管理者使用者

管理者使用者是緊急時使用的特殊使用者。 舉例來說,如果其他使用者無法登入,或無法存取部分資料庫時,您可以採用管理者使用者身分登入。 在您使用智慧卡和憑證時,您必須建立識別名稱 (DN) 和管理者使用者間的關聯,管理者使用者才能存取資料庫。

配置處理程序

如果要設定系統來使用智慧卡和傳輸層安全 (TLS) 憑證,請執行下列動作:
  1. 設定使用者。

    在啟用伺服器的智慧卡鑑別之前,您必須先設定智慧卡使用者。 建立使用者和識別名稱間的關聯,以設定使用者。

  2. 建立識別名稱和管理者使用者間的關聯。

    您必須建立識別名稱 (DN) 和管理者使用者間的關聯,管理者使用者才能存取資料庫。

  3. 在資料庫伺服器中啟用智慧卡鑑別。
  4. 在用戶端中啟用智慧卡鑑別。

下一步

設定使用者。如果您使用公開金鑰基礎架構 (PKI) 鑑別,請遵循設定 PKI 鑑別使用者的指示。如果您使用 Microsoft Certificate Store (MCS) 鑑別,請遵循設定 MCS 鑑別使用者的指示。

意見