在 9.6.0.1 版及更新版本中,您可以將 IBM® Rational® DOORS® Web Access 配置成使用公開金鑰基礎架構 (PKI) 的憑證撤銷清冊,
來管理使用者存取權。
開始之前
如果要使用 CRL,管理者必須配置
IBM Rational DOORS 和
Rational
DOORS Web Access,以啟用 PKI 支援和加密標準。
關於這項作業
CRL 是一個已簽署的資料結構,包含一份帶有時間戳記的清單,以用來識別已撤消的憑證。進行鑑別時,
已撤消的憑證不再可靠。一般而言,當使用者的僱用狀態或指派變更時,
或者當使用者的憑證或對應的私密金鑰受損時,CRL 會封鎖存取權。
用戶端憑證和 CRL 必須符合下列條件:
- 「憑證管理中心 (CA)」必須對用戶端憑證要求和內嵌延伸資訊(例如:CRL 檔的 URL)簽署。如果用戶端憑證不包含有效 CRL 延伸項目詳細資料,
就會拒絕憑證。
- 如果 CRL 過期,Apache Tomcat 會拒絕服務連線。
- 如果載入尚未過期的舊 CRL 檔案,則不會載入含有已撤消憑證的新 CRL。
- 如果已撤消的憑證列在尚未載入的新 CRL 檔案中,撤銷清冊上的使用者仍可以存取應用程式。
註: Rational DOORS Web Access 同時支援 CRL 的 DER(二進位)和 PEM (Base-64) 格式。Rational DOORS 只支援 DER 格式。
程序
如果要將 Rational DOORS Web Access 配置成支援 CRL,請修改用來啟動 Apache Tomcat 伺服器的 Script。
- 在編輯器中開啟 Apache Tomcat 伺服器的啟動 Script。
- 在 Windows 系統上,server.start.bat Script 檔位於 Rational DOORS Web Access 安裝目錄中;
例如 C:\Program Files (x86)\IBM\Rational\DOORS Web Access\9.version。
- 在 UNIX 系統上,server.start.sh Script 檔位於 Rational DOORS Web Access 安裝目錄中。
- 設定系統內容以啟用 CRL 支援。
註: 您可以新增下列系統內容,來啟用 SSL 除錯功能:
-Djavax.net.debug=sslor
或
-Djavax.net.debug=ssl,handshake
- 儲存並關閉啟動 Script 檔。