V9.6.0.1: PKI 証明書失効リストをサポートするように Rational DOORS Web Access を構成

バージョン 9.6.0.1 以降では、Public Key Infrastructure (PKI) 証明書失効リスト (CRL) を使用してユーザー・アクセスを管理するように、IBM® Rational® DOORS® Web Access を構成することができます。

始める前に

CRL を使用するには、管理者は PKI サポートと暗号化準拠を有効にするように、IBM Rational DOORS および Rational DOORS Web Access を構成する必要があります。

このタスクについて

CRL は、失効した証明書を識別するタイム・スタンプ・リストを含む署名付きデータ構造です。 失効した証明書は、認証用にトラステッドではなくなります。 一般に、CRL は、ユーザーの雇用状況または業務が変更された場合、あるいはユーザーの証明書または対応する秘密鍵が漏えいした場合に、アクセスを妨害します。

クライアント証明書および CRL は、以下の条件を満たしていなければなりません。

注: Rational DOORS Web Access では、CRL に関して DER (バイナリー) と PEM (ベース 64) の両方のフォーマットがサポートされます。 Rational DOORS では、DER フォーマットのみがサポートされます。

手順

CRL をサポートするように Rational DOORS Web Access を構成するには、Apache Tomcat サーバーの始動に使用されるスクリプトを変更します。

  1. Apache Tomcat サーバーの始動スクリプトをエディターで開きます。
    • Windows システムでは、server.start.bat スクリプト・ファイルが Rational DOORS Web Access インストール・ディレクトリー (例えば C:¥Program Files (x86)¥IBM¥Rational¥DOORS Web Access¥9.version) にあります。
    • UNIX システムでは、server.start.sh スクリプト・ファイルが Rational DOORS Web Access インストール・ディレクトリーにあります。
  2. CRL サポートを有効にするようにシステム・プロパティーを設定します。
    • Windows システムでは、次のコードを、ファイルの終わり近くにある cd %CATALINA_HOME%¥bin 項目の前に追加します。
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.checkRevocation=true -Dcom.ibm.security.enableCRLDP=true
    • UNIX システムでは、次のコードを export JAVA_OPTS 項目の前に追加します。
      JAVA_OPTS=$JAVA_OPTS -Dcom.ibm.jsse2.checkRevocation=true -Dcom.ibm.security.enableCRLDP=true
    注: 次のシステム・プロパティーを追加することにより、SSL デバッグを有効にすることができます。
    -Djavax.net.debug=sslor 
    または
    -Djavax.net.debug=ssl,handshake
  3. 始動スクリプト・ファイルを保存して閉じます。

始動スクリプトでその他の編集を行う方法の例については、『Rational DOORS Web Access での FIPS 140-2 準拠の構成』を参照してください。

フィードバック