スマート・カードおよび TLS 証明書

トランスポート層セキュリティー (TLS) 証明書を 使用すれば、Rational® DOORS® サーバーと Rational DOORS クライアントの間で セキュア暗号化通信を行うことができます。 ユーザーがスマート・カードで Rational DOORS にログオンするときに、TLS 証明書が使用されます。

TLS 証明書および鍵ストア

クライアントは妥当性検査のために証明書をサーバーに送信し、サーバーは妥当性検査のために証明書をクライアントに送信します。 妥当性検査には鍵ストアが使用されます。 クライアント鍵ストアによってサーバー証明書が妥当性検査され、サーバー鍵ストアによってクライアント証明書が妥当性検査されます。

証明書は、ルート証明書をツリーの最上位とするツリー構造で編成できます。 ツリー内のすべての証明書は、ルート証明書の信頼性を継承します。 鍵ストアでは、各証明書を個別に妥当性検査できます。 ルート証明書が鍵ストアにより妥当性検査されると、各証明書も妥当性検査されます。

デフォルトでは、Rational DOORS が インストールされると、IBM® GSKit から提供される TLS 証明書に加えて、 すぐに使用できる 2 つの鍵ストアがインストールされます。

鍵ストアは certdb フォルダーに入っています。 クライアント鍵ストアは client_authentication.kdb です。 サーバー鍵ストアは server_authentication.kdb です。

client_authentication.kdb 鍵ストアには、クライアントからサーバーに送信できる証明書 IBM_CL1 が入っています。server_authentication.kdb 鍵ストアには、サーバーからクライアントに送信できる証明書 IBM_SV1 が入っています。 IBM_SV1 証明書には、サーバーが稼働しているコンピューターの名前が入っています。 デフォルトでは、この名前は IBMEDSERV です。

クライアント鍵ストアには、サーバー証明書が含まれたツリーのルート証明書も入っています。 これは、サーバー証明書を妥当性検査するためにクライアント鍵ストアで使用されます。 例えば、client_authentication.kdb 鍵ストアには、IBM_SV1 証明書が含まれているツリーのルート証明書が入っています。 この鍵ストアでは、IBM_SV1 の妥当性検査に、このルート証明書が使用されます。 サーバー鍵ストアには、クライアント証明書が含まれているツリーのルート証明書が入っていて、クライアント証明書の妥当性検査に使用されます。

Rational DOORS サーバーをセキュア・モードで 始動した場合、Rational DOORS クライアントはすべて、 サーバーとのセキュア接続を確立します。 コマンド行スイッチを指定しない場合は、以下のデフォルト設定が使用されます。
  • server_authentication.kdb: サーバー鍵ストアの名前
  • IBM_SV1: 証明書の名前
  • IBMEDSERV: サーバーの名前

デフォルト設定を変更して、独自の仕様に合うように、 ご使用のシステムをセットアップできます。 独自の設定を指定するには、コマンド行スイッチを実行して、異なる鍵ストア、証明書名、またはサーバー名を指定します。 例えば、IBM_SV1 を別の証明書名に変更するか、IBMEDSERV を別のサーバー名に変更することができます。

スマート・カード証明書および識別名

スマート・カードを使用する場合、 クライアント証明書は Rational DOORS クライアント上にはありません。 その代わりに、クライアント証明書は、ユーザーに関連付けられた識別名 (DN) とともに、スマート・カード上にあります。 スマート・カード上の証明書は、証明書ラベルによって識別されます。 ユーザーは DN によって識別されます。 この DN は、attribute=value のペアをコンマで区切ったものから構成されます。
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

鍵ストア証明書

鍵ストア証明書を使用する場合、証明書は、ユーザーに関連付けられた識別名 (DN) とともに、鍵ストアにあります。 鍵ストア証明書は証明書ラベルによって識別され、ユーザーは DN によって識別されます。 この DN は、attribute=value のペアをコンマで区切ったものから構成されます。
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

識別名および管理者ユーザー・アカウント

管理者ユーザー・アカウントは、アクセス権の検査をすべてバイパスし、どうしても必要な場合にのみ使用されます。例えば、他のユーザーが誰もログインできない場合や、他のユーザーがデータベースの一部にアクセスできない場合です。スマート・カードおよび証明書を使用する場合、管理者ユーザーがデータベースにアクセスできるように、管理者ユーザーと識別名 (DN) を関連付ける必要があります。

構成プロセス

スマート・カードおよびトランスポート層セキュリティー (TLS) 証明書を使用するようにシステムをセットアップするには、以下の手順を実行します。
  1. ユーザーをセットアップします。

    サーバーに対してカード認証を使用可能にする前に、スマート・カード・ユーザーをセットアップする必要があります。 ユーザーをセットアップするには、ユーザーと識別名を関連付けます。

  2. 識別名と管理者ユーザーを関連付けます。

    管理者ユーザーがデータベースにアクセスできるように、管理者ユーザーと識別名 (DN) を関連付ける必要があります。

  3. データベース・サーバーでスマート・カード認証を使用可能にします。
  4. クライアントでスマート・カード認証を使用可能にします。

次の作業

ユーザーをセットアップします。 公開鍵インフラストラクチャー (PKI) 認証を使用する 場合は、『ユーザーのセットアップ』の 説明に従ってください。 Microsoft 証明書ストア (MCS) 認証を使用する 場合は、『ユーザーのセットアップ』の 説明に従ってください。

フィードバック