En la versión 9.6.0.1 y posteriores, puede configurar
IBM® Rational DOORS
Web Access para utilizar listas de revocación de certificados (CRL) de
infraestructura de claves públicas (PKI) para gestionar el acceso de usuario.
Antes de empezar
Para utilizar CRL, los administradores deben configurar
IBM Rational DOORS
y
Rational
DOORS Web
Access para habilitar el soporte de PKI y la conformidad de cifrado.
Acerca de esta tarea
Una CRL es una estructura de datos firmada que contiene una lista con indicaciones de fecha y hora que identifica los certificados revocados.
Los certificados revocados ya no son de confianza para la autenticación. Generalmente,
las CRL bloquean el acceso cuando la asignación o el estado de empleo de un usuario
cambia o cuando el certificado de un usuario o la clave privada correspondiente está
comprometida.
Los certificados de cliente y las CRL deben cumplir las siguientes condiciones:
- Una entidad emisora de certificados (CA) debe firmar la solicitud de certificado
de cliente e incluir la información ampliada como, por ejemplo, el URL al archivo
CRL. Si el certificado de cliente no contiene detalles de extensión de CRL válidos,
el certificado se rechaza.
- Si la CRL ha caducado, Apache Tomcat rechaza las conexiones con el servicio.
- Si se carga un archivo de CRL anterior que no ha caducado, no se carga la nueva
CRL con los certificados revocados.
- Si un certificado revocado se lista en un nuevo archivo de CRL que todavía no se
ha cargado, los usuarios de la lista de revocación de certificados todavía pueden
acceder a la aplicación.
Nota: Rational DOORS Web Access admite formatos DER (binario) y PEM (base 64) para las CRL. Rational
DOORS sólo admite el formato DER.
Procedimiento
Para configurar Rational DOORS Web Access para dar
soporte a las CRL, modifique el script que se utiliza para iniciar el servidor Apache Tomcat.
- Abra el script de inicio del servidor Apache Tomcat en un editor.
- En sistemas Windows, el archivo de
script server.start.bat se encuentra en el directorio de
instalación de Rational
DOORS Web Access; por ejemplo, C:\Archivos de programa (x86)\IBM\Rational\DOORS
Web Access\9.versión.
- En sistemas UNIX, el archivo de
script server.start.sh se encuentra en el directorio de instalación de Rational
DOORS Web Access.
- Establezca las propiedades del sistema para habilitar el soporte de CRL.
Nota: La depuración SSL se puede habilitar añadiendo esta propiedad del sistema:
-Djavax.net.debug=sslor
o
-Djavax.net.debug=ssl,handshake
- Guarde y cierre el archivo de script de inicio.