Tarjetas inteligentes y certificados TLS

Los certificados TLS (Transport layer security) proporcionan una comunicación cifrada segura entre el servidor de Rational DOORS y el cliente de Rational DOORS. Cuando los usuarios inicien sesión en Rational DOORS utilizando una tarjeta inteligente, se utilizarán los certificados TLS.

Certificados TLS y almacenes de claves

El cliente envía un certificado al servidor para validarlo, y el servidor envía un certificado al cliente para validarlo. La validación se lleva a cabo mediante los almacenes de claves. Un almacén de claves de cliente valida el certificado del servidor, y un almacén de claves del servidor valida el certificado de cliente.

Los certificados se pueden organizar en una estructura de árbol, con un certificado raíz en la parte superior del árbol. Todos los certificados del árbol heredan la integridad del certificado raíz. Los almacenes de claves pueden validar cada certificado individualmente. Si el almacén de claves valida el certificado raíz, cada certificado también se valida.

De forma predeterminada, Rational DOORS se instala con certificados TLS proporcionados por IBM® GSKIT, y dos almacenes de claves listas para utilizarse.

Los almacenes de claves se encuentran en la carpeta certdb. El almacén de claves del cliente es client_authentication.kdb, y el almacén de claves del servidor es server_authentication.kdb.

El almacén de claves client_authentication.kdb contiene un certificado que el cliente puede enviar al servidor denominado IBM_CL1, y el almacén de claves server_authentication.kdb contiene un certificado denominado IBM_SV1 que el servidor puede enviar al cliente. El certificado IBM_SV1 contiene el nombre del sistema en el que se ejecuta el servidor. De forma predeterminada, el nombre es IBMEDSERV.

El almacén de claves del cliente también contiene el certificado raíz del árbol que contiene el certificado del servidor, que el almacén de claves del cliente utiliza para validar el certificado de servidor. Por ejemplo, el almacén de claves client_authentication.kdb contiene el certificado raíz del árbol que contiene el certificado IBM_SV1, y utiliza el certificado raíz para validar IBM_SV1. El almacén de claves del servidor contiene el certificado raíz del árbol que contiene el certificado cliente, y lo utiliza para validar el certificado cliente.

Si inicia el servidor Rational DOORS en modalidad segura, todos los clientes de Rational DOORS realizarán conexiones seguras con el servidor. Si no especifica conmutadores de línea de mandatos, se utilizan estos valores predeterminados:
  • server_authentication.kdb es el nombre del almacén de claves del servidor
  • IBM_SV1 es el nombre del certificado
  • IBMEDSERV es el nombre del servidor

Puede cambiar los valores predeterminados y configurar el sistema a las especificaciones. Para especificar sus propios valores, ejecute los conmutadores de línea de mandatos para especificar otro almacén de claves, nombre de certificado o nombre de servidor. Por ejemplo, puede cambiar IBM_SV1 a otro nombre de certificado o cambiar IBMEDSERV a otro nombre de servidor.

Certificados de tarjeta inteligente y nombres distinguidos

Cuando utilice dispositivos de tarjeta inteligente, el certificado de cliente no está en el cliente de Rational DOORS. En su lugar, el certificado de cliente se encuentra en la tarjeta inteligente, junto con el nombre distinguido (DN), que se asocia con el usuario. El certificado en la tarjeta inteligente se identifica mediante un código de certificado. El usuario se identifica mediante un DN. El DN se compone de pares atributo=valor separados por comas:
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

Certificados del almacén de claves

Cuando utiliza certificados de almacén de claves, el certificado se encuentra en el almacén de claves, junto con el nombre distinguido (DN), el cual se asocia con el usuario. El certificado del almacén de claves se identifica mediante un código de certificado y el usuario se identifica mediante un DN. El DN se compone de pares atributo=valor separados por comas:
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

Los nombres distinguidos y el usuario administrador

El usuario administrador es un usuario especial que ha utilizado en emergencias. Por ejemplo, puede utilizar el usuario administrador si ningún otro usuario puede iniciar una sesión, o si otros usuarios no pueden acceder a parte de la base de datos. Al utilizar dispositivos de tarjeta inteligente y certificados, debe asociar un nombre distinguido (DN) con el usuario administrador de modo que el usuario administrador pueda acceder a la base de datos.

Proceso de configuración

Para configurar el sistema para utilizar dispositivos de tarjeta inteligente y certificados TLS (Transport Layer Security):
  1. Configurar usuarios.

    Antes de habilitar la autenticación de tarjeta para un servidor, debe configurar los usuarios de tarjetas inteligentes. Configure un usuario mediante la asociación del usuario con un nombre distinguido.

  2. Asocie un nombre distinguido con el usuario administrador.

    Debe asociar un nombre distinguido (DN) con el usuario administrador para permitir que el usuario administrador acceda a la base de datos.

  3. Habilitar la autenticación de tarjeta inteligente en el servidor de base de datos.
  4. Habilitar la autenticación de tarjeta inteligente en el cliente.

Qué hacer a continuación

Configurar usuarios. Si utiliza la autenticación de la infraestructura de clave pública (PKI), siga las instrucciones de Configuración de los usuarios de autenticación de PKI. Si está utilizando la autenticación de Microsoft Certificate Store (MCS), siga las instrucciones de Configuración de los usuarios de autenticación de MCS.

Comentarios