V9.6.0.1: Настройка Rational DOORS Web Access для поддержки списков аннулированных сертификатов PKI

Начиная с версии 9.6.0.1, IBM® Rational DOORS Web Access можно настроить для применения списков аннулированных сертификатов (CRL) инфраструктуры общих ключей (PKI) для управления доступом пользователей.

Прежде чем начать

Для применения CRL администраторы должны настроить IBM Rational DOORS и Rational DOORS Web Access для поддержки PKI и соответствия требованиям шифрования.

Об этой задаче

CRL - это структура подписанных данных, содержащая список аннулированных сертификатов с метками времени. Аннулированные сертификаты отклоняются в процессе идентификации. Как правило, CRL блокируют доступ в случае изменения состояния пользователя или в случае раскрытия сертификата пользователя или его личного ключа.

Сертификаты клиентов и CRL должны соответствовать следующим условиям:

Прим.: Rational DOORS Web Access для CRL поддерживает форматы DER (двоичный) и PEM (base-64). Rational DOORS поддерживает только формат DER.

Процедура

Для того чтобы настроить Rational DOORS Web Access для поддержки CRL, внесите изменения в сценарий, применяемый для запуска сервера Apache Tomcat.

  1. Откройте сценарий запуска сервера Apache Tomcat в редакторе.
    • В системах Windows файл сценария server.start.bat находится в каталоге установки Rational DOORS Web Access. Пример: C:\Program Files (x86)\IBM\Rational\DOORS Web Access\9.версия.
    • В системах UNIX файл сценария server.start.sh находится в каталоге установки Rational DOORS Web Access.
  2. Укажите системные свойства для включения поддержки CRL.
    • В системах Windows добавьте этот код в конце файла перед записью cd %CATALINA_HOME%\bin:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.checkRevocation=true -Dcom.ibm.security.enableCRLDP=true
    • В системах UNIX добавьте этот код перед записью export JAVA_OPTS:
      JAVA_OPTS=$JAVA_OPTS -Dcom.ibm.jsse2.checkRevocation=true -Dcom.ibm.security.enableCRLDP=true
    Прим.: Отладку SSL можно включить путем добавления следующего системного свойства:
    -Djavax.net.debug=sslor 
    или
    -Djavax.net.debug=ssl,handshake
  3. Сохраните и закройте файл сценария запуска.

Пример

Примеры изменений сценария запуска приведены в разделе Настройка соответствия FIPS 140-2 в Rational DOORS Web Access.

Комментарии