TLS 憑證可提供 Rational DOORS 伺服器和 Rational DOORS 用戶端之間的安全通訊。
用戶端傳送憑證至伺服器以進行驗證,而伺服器也會傳送憑證至用戶端以進行驗證。
驗證會由金鑰儲存庫執行。 用戶端金鑰儲存庫會驗證伺服器憑證,而伺服器金鑰儲存庫會驗證用戶端憑證。
憑證可依據樹狀結構方式加以組織,主要憑證是在樹狀結構頂端。 樹狀結構中的所有憑證會繼承主要憑證的可信度。 金鑰儲存庫可個別驗證每個憑證,或者,如果金鑰儲存庫驗證主要憑證,則每個憑證也都會受到驗證。
依預設,Rational DOORS 在安裝時隨附 IBM® GSKIT 所提供的 TLS 憑證,以及備妥可用的兩個金鑰儲存庫。
金鑰儲存庫是在 certdb 資料夾中。用戶端金鑰儲存庫名稱為 client_authentication.kdb,而伺服器金鑰儲存庫名稱為 server_authentication.kdb。
client_authentication.kdb 金鑰儲存庫包含用戶端可傳送至伺服器的憑證(名稱為 IBM_CL1),而 server_authentication.kdb 金鑰儲存庫包含伺服器可傳送至用戶端的憑證(名稱為 IBM_SV1)。 IBM_SV1 包含伺服器執行所在的電腦名稱。 依預設,這是 IBMEDSERV。
用戶端金鑰儲存庫也包含樹狀結構(包含伺服器憑證)的主要憑證,供用戶端金鑰儲存庫驗證伺服器憑證。 舉例來說,client_authentication.kdb 包含樹狀結構(包含 IBM_SV1)的主要憑證,並用以驗證 IBM_SV1。 伺服器金鑰儲存庫包含樹狀結構(包含用戶端憑證)的主要憑證,並用來驗證用戶端憑證。
如果您啟動 Rational DOORS 伺服器時未變更任何預設值,則依預設會使用此伺服器金鑰儲存庫和憑證配置,且所有 Rational DOORS 用戶端都會與伺服器建立安全連線。
您可以變更預設值,以及依您的指定來設定系統。 您可以執行指令行參數,讓您指定不同的金鑰儲存庫、憑證名稱或伺服器名稱,來達成這個目的。 例如,您可以將 IBM_SV1 變更為不同的憑證名稱,或將 IBMEDSERV 變更為不同的伺服器名稱。
在您使用智慧卡時,用戶端憑證不是在 Rational DOORS 用戶端上。它是在智慧卡上,且附上與使用者相關聯的識別名稱 (DN)。 智慧卡上的憑證是以憑證標籤作為識別。 使用者是以 DN 作為識別。 DN 是由屬性=值配對所組成,以逗點分隔,例如:
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales