V9.6.0.1: Configurando o Rational DOORS para suportar listas de revogação de certificado PKI

Na versão 9.6.0.1 e mais recente, é possível configurar o IBM® Rational DOORS para usar listas de revogação de certificado (CRLs) de infraestrutura de chave pública (PKI) para gerenciar o acesso do usuário.

Antes de Iniciar

Para usar CRLs, os administradores devem configurar o Rational DOORS para ativar o suporte de PKI e a conformidade com criptografia. Para obter detalhes, consulte Configurando cartões inteligentes e certificados para o Rational DOORS

Sobre Esta Tarefa

Uma CRL é uma estrutura de dados assinados que contém uma lista com registro de data e hora que identifica os certificados revogados. Os certificados revogados não são mais confiáveis para autenticação. Geralmente, as CRLs bloqueiam o acesso quando o status de emprego ou a designação de um usuário muda, ou quando o certificado ou a chave privada correspondente de um usuário é comprometido.

Os certificados e as CRLs do cliente devem atender a estas condições:

Se certificados PKI forem usados para autenticação do usuário, será possível configurar o servidor de base de dados para suportar CRLs. Quando o suporte para CRLs está ativado, o servidor verifica os certificados de cliente quando um usuário tenta efetuar login para verificar se o certificado não foi revogado.

Os administradores usam o comando dbadmin para configurar opções de CRL para o servidor. O servidor envia as configurações de CRL para o log do servidor. Se informações de diagnóstico sobre a CRL estiverem disponíveis, o servidor registrará essas informações quando um certificado for validado.

É possível ativar o cliente Rational DOORS para executar uma verificação de CRL do certificado do servidor quando você abre o cliente. Especifique opções de CRL com o comando doors.exe na linha de comandos ou configure chaves e valores no registro. Os usuários que têm permissão para visualizar propriedades do banco de dados no cliente podem examinar as opções de CRL que são usadas pelo servidor.

Se um certificado de usuário revogado for rejeitado pelo servidor, o cliente exibirá esta mensagem:
The user certificate was not validated.
Some possible reasons for the error:
1. the server does not trust the whole certificate chain
2. the user certificate has been revoked
3. the user certificate CRL is not available
DOORS will now exit.
A mensagem a seguir é postada no log do servidor:
received invalid socket: boost::exception_detail::clone_impl<class SecureCommsException>: GSKit SocInit failed: GSK_ERROR_BAD_CERT -- unable to validate the client certificate
- the certificate chain might not be trusted
- the certificate might be revoked
- the certificate CRL might not be available
Se um certificado de servidor revogado for rejeitado pelo cliente, o cliente exibirá esta mensagem:
Unable to validate the server certificate. The server certificate has been revoked.
DOORS will now exit.

O servidor usa as configurações de opções mais recentes disponíveis para validar um certificado. Se você alterar as opções de CRL, deverá reiniciar o servidor para aplicar as mudanças.

Nota: O Rational DOORS suporta somente o formato DER para CRLs. O Rational DOORS Web Access suporta os formatos DER (binário) e PEM (base 64).

Procedimento

  1. Use estes comutadores e parâmetros do comando dbadmin para configurar opções para ativar o suporte para CRLs no servidor de base de dados do Rational DOORS. Para obter detalhes sobre como usar o comando dbadmin, consulte Comutadores de linha de comandos para o servidor de base de dados.
    Comutadores e parâmetros dbadmin Descrição
    -useHttpCrl true | false

    Ativa a verificação de CRL para autenticação do usuário.

    Valor padrão: false

    -useHttpCrlCache true | false

    Determina se o cache é usado para verificação de CRL.

    Valor padrão: false

    -httpCrlCacheSize size

    Especifica o número de entradas no cache quando a verificação de CRL está ativada. Configure esse valor como 32 ou menos, porque as CRLs podem ser grandes.

    Valor padrão: 32

    -httpCdpMaxResponseSize number-of-bytes

    O tamanho máximo de uma resposta que é aceita por um servidor HTTP ao recuperar CRLs. Esse valor não é o tamanho do próprio arquivo CRL.

    Valor padrão: 204800 bytes

    -httpCdpTimeout seconds

    O tempo limite da espera de uma resposta do servidor HTTP para uma CRL.

    Valor padrão: 5 segundos

  2. Para verificar as configurações da opção de CRL no servidor de base de dados, digite este comando:
    dbadmin -showCrlOptions
  3. Para ativar o suporte para CRLs no cliente Rational DOORS, execute uma destas tarefas:
    • Use comutadores e valores de parâmetro quando abrir o cliente Rational DOORS pela linha de comandos, como neste exemplo:
      doors.exe -useHttpCrl -httpCdpMaxResponseSize 500000 -httpCdpTimeout 10
    • Definir chaves de registro e valores na pasta do cliente Rational DOORS no registro. Aqui está um exemplo do local do registro:
      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Telelogic\DOORS\9.version\Config
    Comutadores de linha de comandos e chaves de registro Descrição
    Comutador de linha de comandos: -useHttpCrl

    Chave de registro: useHttpCrl

    Permite que o cliente faça uma verificação de CRL do certificado do servidor. Não inclua um valor de parâmetro com esse comutador de linha de comandos. A verificação de CRL não é ativada por padrão.

    Ao especificar essa configuração no registro, é necessário incluir um valor com a chave useHttpCrl. O valor é false, por padrão. Configure o valor como true para ativar a verificação de CRL pelo cliente.

    Comutador de linha de comandos: -httpCdpMaxResponseSize number_of_bytes

    Chave de registro: httpCdpMaxResponseSize

    Configura o tamanho máximo de uma resposta que é aceita por um servidor HTTP ao recuperar CRLs. Esse valor não é o tamanho do próprio arquivo CRL.

    Valor padrão: 204800 bytes

    Comutador de linha de comandos: -httpCdpTimeout seconds

    Chave de registro: httpCdpTimeout

    Configura o tempo limite da espera de uma resposta do servidor HTTP para uma CRL.

    Valor padrão: 5 segundos

  4. Para visualizar as configurações de opção de CRL no cliente Rational DOORS, abra a janela Propriedades de banco de dados do DOORS e clique na guia Política de login. As configurações são somente leitura no cliente, porque elas são definidas usando o comando dbadmin. Se a caixa de seleção Ativar verificações de revogação de CRL estiver marcada, será possível clicar no botão Opções de CRL para visualizar as opções que estão configuradas para o servidor de base de dados.

Feedback