Ab Version 9.6.0.1 können Sie IBM® Rational DOORS Web Access so konfigurieren, dass Zertifikatswiderrufslisten (Certificate Revocation Lists, CRLs) für die PKI-Infrastruktur (Public Key Infrastructure, PKI) zur Verwaltung des Benutzerzugriffs verwendet werden.
Vorbereitende Schritte
Zur Verwendung von Zertifikatswiderrufslisten (CRLs) müssen Administratoren
IBM Rational DOORS und
Rational DOORS Web Access so konfigurieren, dass die PKI-Unterstützung und die Verschlüsselungskonformität aktiviert sind.
Informationen zu diesem Vorgang
Eine Zertifikatswiderrufsliste ist eine signierte Datenstruktur, die eine Liste mit einer Zeitmarke enthält, in der widerrufene Zertifikate angegeben sind. Widerrufene Zertifikate sind für die Authentifizierung nicht mehr vertrauenswürdig. In der Regel wird der Zugriff durch Zertifikatswiderrufslisten blockiert, wenn sich der Beschäftigungsstatus eines Benutzers ändert oder wenn die Sicherheit des Zertifikats bzw. des privaten Schlüssels eines Benutzers beeinträchtigt ist.
Clientzertifikate und Zertifikatswiderrufslisten müssen folgende Bedingungen erfüllen:
- Eine Zertifizierungsstelle (Certificate Authority, CA) muss das Clientzertifikat signieren und erweiterte Informationen wie die URL in die CRL-Datei einbetten.
Wenn ein Clientzertifikat keine gültigen CRL-Erweiterungsdetails enthält, wird das Zertifikat abgelehnt.
- Wenn eine Zertifikatswiderrufsliste abgelaufen ist, werden von Apache Tomcat Verbindungen zum Service abgelehnt.
- Wenn eine ältere CRL-Datei geladen wird, die noch nicht abgelaufen ist, wird die neue Zertifikatswiderrufsliste mit den widerrufenen Zertifikaten nicht geladen.
- Wenn ein widerrufenes Zertifikat in einer neuen CRL-Datei aufgelistet wird, die noch nicht geladen ist, können die Benutzer auf der Widerrufsliste trotzdem auf die Anwendung zugreifen.
Anmerkung: Von Rational DOORS Web Access werden sowohl das Format DER (binär) und das Format PEM (Base-64) für Zertifikatswiderrufslisten unterstützt. Von Rational DOORS wird nur das Format DER unterstützt.
Vorgehensweise
Wenn Sie Rational DOORS Web Access für die Unterstützung von Zertifikatswiderrufslisten konfigurieren möchten, ändern Sie das Script, das zum Starten des Apache Tomcat-Servers verwendet wird.
- Öffnen Sie das Startscript für den Apache Tomcat-Server in einem Editor.
- Auf Windows-Systemen befindet sich die Scriptdatei server.start.bat im Installationsverzeichnis von Rational DOORS Web Access; Beispiel:
C:\Programme (x86)\IBM\Rational\DOORS Web Access\9.version.
- Auf UNIX-Systemen befindet sich die Scriptdatei server.start.sh im Installationsverzeichnis von Rational DOORS Web Access.
- Legen Sie die Systemeigenschaften zum Aktivieren der Unterstützung für die Zertifikatswiderrufslisten fest.
Anmerkung: Das SSL-Debugging kann durch Hinzufügen der folgenden Systemeigenschaft aktiviert werden:
-Djavax.net.debug=sslor
oder
-Djavax.net.debug=ssl,handshake
- Speichern und schließen Sie die Startscriptdatei.