V9.6.0.1: Configurando o Rational DOORS Web Access para suportar lista de revogação de certificado de PKI

Na versão 9.6.0.1 e mais recente, é possível configurar o IBM® Rational DOORS Web Access para usar as listas de revogação de certificado (CRLs) de infraestrutura de chave pública (PKI) para gerenciar o acesso de usuário.

Antes de Iniciar

Para usar CRLs, os administradores devem configurar o IBM Rational DOORS e o Rational DOORS Web Access para ativar o suporte de PKI e a conformidade de criptografia.

Sobre Esta Tarefa

Uma CRL é uma estrutura de dados assinados que contém uma lista com registro de data e hora que identifica os certificados revogados. Os certificados revogados não são mais confiáveis para autenticação. Geralmente, as CRLs bloqueiam o acesso quando o status ou designação de empregabilidade de um usuário é alterado ou quando o certificado de um usuário ou a chave privada correspondente está comprometida.

Os certificados de cliente e as CRLs devem atender a estas condições:

Nota: O Rational DOORS Web Access suporta os formatos DER (binário) e PEM (base-64) para CRLs. O Rational DOORS suporta somente o formato DER.

Procedimento

Para configurar o Rational DOORS Web Access para suportar CRLs, modifique o script que é usado para iniciar o servidor Apache Tomcat.

  1. Abra o script de inicialização para o servidor Apache Tomcat em um editor.
    • Em sistemas Windows, o arquivo de script server.start.bat está no diretório de instalação do Rational DOORS Web Access; por exemplo, C:\Program Files (x86)\IBM\Rational\DOORS Web Access\9.version.
    • Em sistemas UNIX, o arquivo de script server.start.sh está no diretório de instalação do Rational DOORS Web Access.
  2. Configure as propriedades de sistema para ativar o suporte de CRL.
    • Nos sistemas Windows, inclua este código próximo ao fim do arquivo, antes da entrada cd %CATALINA_HOME%\bin:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.checkRevocation=true -Dcom.ibm.security.enableCRLDP=true
    • Nos sistemas UNIX, inclua este código antes da entrada export JAVA_OPTS:
      JAVA_OPTS=$JAVA_OPTS -Dcom.ibm.jsse2.checkRevocation=true -Dcom.ibm.security.enableCRLDP=true
    Nota: A depuração de SSL pode ser ativada incluindo esta propriedade de sistema:
    -Djavax.net.debug=sslor 
    ou
    -Djavax.net.debug=ssl,handshake
  3. Salve e feche o arquivo de script de inicialização.

Exemplo

Para exemplos de como fazer outras edições no script de inicialização, consulte Configurado a conformidade para o FIPS 140-2 no Rational DOORS Web Access.

Feedback