Version 9.6.0.1: Rational DOORS für Unterstützung von PKI-Zertifikatswiderrufslisten konfigurieren

Ab Version 9.6.0.1 können Sie IBM® Rational DOORS so konfigurieren, dass Zertifikatswiderrufslisten (Certificate Revocation Lists, CRLs) für die PKI-Infrastruktur (Public Key Infrastructure, PKI) zur Verwaltung des Benutzerzugriffs verwendet werden.

Vorbereitende Schritte

Zur Verwendung von Zertifikatswiderrufslisten (CRLs) müssen Administratoren Rational DOORS so konfigurieren, dass die PKI-Unterstützung und die Verschlüsselungskonformität aktiviert sind. Details hierzu finden Sie in Chipkarten und Zertifikate in Rational DOORS konfigurieren.

Informationen zu diesem Vorgang

Eine Zertifikatswiderrufsliste ist eine signierte Datenstruktur, die eine Liste mit einer Zeitmarke enthält, in der widerrufene Zertifikate angegeben sind. Widerrufene Zertifikate sind für die Authentifizierung nicht mehr vertrauenswürdig. In der Regel wird der Zugriff durch Zertifikatswiderrufslisten blockiert, wenn sich der Beschäftigungsstatus eines Benutzers ändert oder wenn die Sicherheit des Zertifikats bzw. des privaten Schlüssels eines Benutzers beeinträchtigt ist.

Clientzertifikate und Zertifikatswiderrufslisten müssen folgende Bedingungen erfüllen:

Wenn für die Benutzerauthentifizierung PKI-Zertifikate verwendet werden, können Sie den Datenbankserver für die Unterstützung von Zertifikatswiderrufslisten konfigurieren. Wenn die Unterstützung für Zertifikatswiderrufslisten aktiviert ist, werden die Clientzertifikate vom Server überprüft, sobald ein Benutzer versucht, sich anzumelden, um zu überprüfen, ob das Zertifikat widerrufen wurde.

Administratoren verwenden den Befehl dbadmin zum Festlegen von CRL-Optionen für den Server. Vom Server werden die CRL-Einstellungen an das Serverprotokoll gesendet. Wenn Diagnoseinformationen zur Zertifikatswiderrufsliste verfügbar sind, protokolliert der Server diese Informationen, wenn ein Zertifikat überprüft wird.

Sie können auf dem Rational DOORS-Client die Ausführung der CRL-Überprüfung des Serverzertifikats aktivieren, wenn Sie den Client öffnen. Geben Sie die CRL-Optionen mit dem Befehl doors.exe in der Befehlszeile an oder legen Sie die Schlüssel und Werte in der Registry fest. Benutzer, die über die Berechtigung zum Anzeigen der Datenbankeigenschaften im Client verfügen, können die CRL-Optionen überprüfen, die vom Server verwendet werden.

Wenn ein widerrufenes Benutzerzertifikat vom Server abgelehnt wird, wird auf dem Client die folgende Nachricht angezeigt:
Das Benutzerzertifikat wurde nicht überprüft. Einige mögliche Ursachen für den Fehler:
1. Der Server vertraut der gesamten Zertifikatskette nicht.
2. Das Benutzerzertifikat wurde widerrufen.
3. Die CRL des Benutzerzertifikats ist nicht verfügbar.
DOORS wird nun beendet.
Die folgende Nachricht wird im Serverprotokoll veröffentlicht:
Ungültiges Socket empfangen: boost::exception_detail::clone_impl<class SecureCommsException>: GSKit SocInit failed: GSK_ERROR_BAD_CERT -- Das Clientzertifikat kann nicht überprüft werden.
- die Zertifikatskette ist möglicherweise nicht vertrauenswürdig
- das Zertifikat wurde möglicherweise widerrufen
- die Zertifikats-CRL ist möglicherweise nicht verfügbar
Wenn ein widerrufenes Serverzertifikat vom Client abgelehnt wird, wird auf dem Client die folgende Nachricht angezeigt:
Das Serverzertifikat kann nicht überprüft werden. Das Serverzertifikat wurde widerrufen. DOORS wird nun beendet. 

Vom Server werden die neuesten verfügbaren Optionseinstellungen zum Überprüfen eines Zertifikats verwendet. Wenn Sie die CRL-Optionen ändern, müssen Sie den Server erneut starten, damit die Änderungen wirksam werden.

Anmerkung: Von Rational DOORS wird für Zertifikatswiderrufslisten nur das Format DER unterstützt. Von Rational DOORS Web Access werden sowohl das Format DER (binär) und das Format PEM (Base-64) unterstützt.

Vorgehensweise

  1. Verwenden Sie die folgenden Schalter und Parameter des Befehls dbadmin zum Festlegen der Optionen zum Aktivieren der Unterstützung für Zertifikatswiderrufslisten auf einem Rational DOORS-Datenbankserver. Details zur Verwendung des Befehls dbadmin finden Sie unter Befehlszeilenschalter für den Datenbankserver.
    Schalter und Parameter für dbadmin Beschreibung
    -useHttpCrl true | false

    Aktiviert die Überprüfung der Zertifikatswiderrufsliste für die Benutzerauthentifizierung.

    Standardwert: false

    -useHttpCrlCache true | false

    Legt fest, ob der Cache für die Überprüfung der Zertifikatswiderrufsliste verwendet wird.

    Standardwert: false

    -httpCrlCacheSize größe

    Gibt die Anzahl der Einträge im Cache an, wenn die Überprüfung der Zertifikatswiderrufsliste aktiviert ist. Legen Sie für diesen Wert maximal 32 fest, da Zertifikatswiderrufslisten groß sein können.

    Standardwert: 32

    -httpCdpMaxResponseSize byteanzahl

    Die maximale Größe einer Antwort, die von einem HTTP-Server akzeptiert wird, wenn Zertifikatswiderrufslisten abgerufen werden. Dieser Wert ist nicht die Größe der Datei mit der Zertifikatswiderrufsliste selbst.

    Standardwert: 204800 Byte

    -httpCdpTimeout sekunden

    Das Zeitlimit des Zeitraums, in dem vom HTTP-Server auf eine Antwort auf eine Zertifikatswiderrufsliste gewartet wird.

    Standardwert: 5 Sekunden

  2. Geben Sie zum Überprüfen der Einstellungen für die Optionen der Zertifikatswiderrufsliste auf dem Datenbankserver den folgenden Befehl ein:
    dbadmin -showCrlOptions
  3. Führen Sie eine der folgenden Tasks aus, um die Unterstützung für Zertifikatswiderrufslisten auf dem Rational DOORS-Client zu aktivieren:
    • Verwenden Sie Schalter und Parameterwerte wie im folgenden Beispiel, wenn Sie den Rational DOORS-Client in der Befehlszeile öffnen:
      doors.exe -useHttpCrl -httpCdpMaxResponseSize 500000 -httpCdpTimeout 10
    • Legen Sie Registrierungsschlüssel und Werte im Rational DOORS-Clientordner in der Registry fest. Nachfolgend wird ein Beispiel für eine Registry-Position dargestellt:
      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Telelogic\DOORS\9.version\Config
    Befehlszeilenschalter und Registrierungsschlüssel Beschreibung
    Befehlszeilenschalter: -useHttpCrl

    Registrierungsschlüssel: useHttpCrl

    Ermöglicht dem Client die Durchführung einer CRL-Überprüfung des Serverzertifikats. Schließen Sie nicht einen Parameterwert in diesen Befehlszeilenschalter ein. Die Überprüfung der Zertifikatswiderrufsliste ist standardmäßig nicht aktiviert.

    Wenn Sie diese Einstellung in der Registry angeben, müssen Sie mit dem Schlüssel useHttpCrl einen Wert einschließen. Standardmäßig ist der Wert false. Legen Sie als Wert true fest, um die Überprüfung der Zertifikatswiderrufsliste durch den Client zu aktivieren.

    Befehlszeilenschalter: -httpCdpMaxResponseSize byteanzahl

    Registrierungsschlüssel: httpCdpMaxResponseSize

    Legt die maximale Größe einer Antwort fest, die von einem HTTP-Server akzeptiert wird, wenn Zertifikatswiderrufslisten abgerufen werden. Dieser Wert ist nicht die Größe der Datei mit der Zertifikatswiderrufsliste selbst.

    Standardwert: 204800 Byte

    Befehlszeilenschalter: -httpCdpTimeout sekunden

    Registrierungsschlüssel: httpCdpTimeout

    Legt das Zeitlimit des Zeitraums fest, in dem vom HTTP-Server auf eine Antwort auf eine Zertifikatswiderrufsliste gewartet wird.

    Standardwert: 5 Sekunden

  4. Öffnen Sie zum Anzeigen der Einstellungen für die Optionen der Zertifikatswiderrufsliste in DOORS das Fenster Datenbankeigenschaften und klicken Sie auf die Registerkarte Anmelderichtlinie. Die Einstellungen sind im Client schreibgeschützt, weil sie mithilfe des Befehls dbadmin festgelegt werden. Wenn das Kontrollkästchen CRL-Widerrufprüfungen aktivieren ausgewählt ist, können Sie auf die Schaltfläche CRL-Optionen klicken, um die Optionen anzuzeigen, die für den Datenbankserver festgelegt wurden.

Feedback