V9.6.0.1: PKI 인증서 폐기 목록을 지원하기 위한 Rational DOORS Web Access 구성

버전 9.6.0.1 이상에서 사용자 액세스 관리에 PKI(Public Key Infrastructure) 인증서 폐기 목록(CRL)을 사용하도록 IBM® Rational® DOORS® Web Access를 구성할 수 있습니다.

시작하기 전에

CRL을 사용하려면 관리자가 IBM Rational DOORSRational DOORS Web Access를 구성하여 PKI 지원과 암호화 준수를 사용할 수 있게 해야 합니다.

이 태스크 정보

CRL은 폐기된 인증서를 식별하는 시간소인 목록이 포함된 서명된 데이터 구조입니다. 폐기된 인증서는 인증을 위해 더 이상 신뢰되지 않습니다. 일반적으로 CRL은 사용자의 고용 상태 또는 과제가 변경되거나 사용자의 인증서 또는 해당하는 개인 키가 손상되면 액세스를 차단합니다.

클라이언트 인증서와 CRL은 다음 조건을 충족해야 합니다.

참고: Rational DOORS Web Access는 CRL에 대해 DER(2진)과 PEM(base-64) 형식을 둘 다 지원합니다. Rational DOORS는 DER 형식만 지원합니다.

프로시저

CRL을 지원하도록 Rational DOORS Web Access를 구성하려면 Apache Tomcat 서버를 시작하는 데 사용되는 스크립트를 수정하십시오.

  1. 편집기에서 Apache Tomcat 서버에 대한 시작 스크립트를 여십시오.
    • Windows 시스템에서 server.start.bat 스크립트 파일은 Rational DOORS Web Access 설치 디렉토리에 있습니다(예: C:\Program Files (x86)\IBM\Rational\DOORS Web Access\9.version).
    • UNIX 시스템에서 server.start.sh 스크립트 파일은 Rational DOORS Web Access 설치 디렉토리에 있습니다.
  2. 시스템 특성을 설정하여 CRL 지원을 사용할 수 있게 하십시오.
    • Windows 시스템에서 파일의 끝 근처 cd %CATALINA_HOME%\bin 항목 앞에 다음 코드를 추가하십시오.
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.checkRevocation=true -Dcom.ibm.security.enableCRLDP=true
    • UNIX 시스템에서 export JAVA_OPTS 항목 앞에 다음 코드를 추가하십시오.
      JAVA_OPTS=$JAVA_OPTS -Dcom.ibm.jsse2.checkRevocation=true -Dcom.ibm.security.enableCRLDP=true
    참고: SSL 디버깅은 다음 시스템 특성을 추가하여 사용으로 설정할 수 있습니다.
    -Djavax.net.debug=sslor 
    또는
    -Djavax.net.debug=ssl,handshake
  3. 시작 스크립트 파일을 저장하고 닫으십시오.

시작 스크립트에서 기타 편집을 수행하는 방법에 대한 예는 Rational DOORS Web Access에서 FIPS 140-2에 대한 준수 구성을 참조하십시오.

피드백