クライアントは妥当性検査のために証明書をサーバーに送信し、サーバーは妥当性検査のために証明書をクライアントに送信します。 妥当性検査には鍵ストアが使用されます。 クライアント鍵ストアによってサーバー証明書が妥当性検査され、サーバー鍵ストアによってクライアント証明書が妥当性検査されます。
証明書は、ルート証明書をツリーの最上位とするツリー構造で編成できます。 ツリー内のすべての証明書は、ルート証明書の信頼性を継承します。 鍵ストアでは、各証明書を個別に妥当性検査できます。 ルート証明書が鍵ストアにより妥当性検査されると、各証明書も妥当性検査されます。
デフォルトでは、RationalDOORS が インストールされると、IBM® GSKIT から提供される TLS 証明書に加えて、 すぐに使用できる 2 つの鍵ストアがインストールされます。
鍵ストアは certdb フォルダーに入っています。 クライアント鍵ストアは client_authentication.kdb です。 サーバー鍵ストアは server_authentication.kdb です。
client_authentication.kdb 鍵ストアには、クライアントからサーバーに送信できる証明書 IBM_CL1 が入っています。server_authentication.kdb 鍵ストアには、サーバーからクライアントに送信できる証明書 IBM_SV1 が入っています。 IBM_SV1 証明書には、サーバーが稼働しているコンピューターの名前が入っています。 デフォルトでは、この名前は IBMEDSERV です。
クライアント鍵ストアには、サーバー証明書が含まれたツリーのルート証明書も入っています。 これは、サーバー証明書を妥当性検査するためにクライアント鍵ストアで使用されます。 例えば、client_authentication.kdb 鍵ストアには、IBM_SV1 証明書が含まれているツリーのルート証明書が入っています。 この鍵ストアでは、IBM_SV1 の妥当性検査に、このルート証明書が使用されます。 サーバー鍵ストアには、クライアント証明書が含まれているツリーのルート証明書が入っていて、クライアント証明書の妥当性検査に使用されます。
デフォルト設定を変更して、独自の仕様に合うように、 ご使用のシステムをセットアップできます。 独自の設定を指定するには、コマンド行スイッチを実行して、異なる鍵ストア、証明書名、またはサーバー名を指定します。 例えば、IBM_SV1 を別の証明書名に変更したり、IBMEDSERV を別のサーバー名に変更したりできます。
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales
サーバーに対してカード認証を使用可能にする前に、スマート・カード・ユーザーをセットアップする必要があります。 ユーザーをセットアップするには、ユーザーと識別名を関連付けます。
管理者ユーザーがデータベースにアクセスできるように、管理者ユーザーと識別名 (DN) を関連付ける必要があります。