V9.6.0.1:配置 Rational DOORS Web Access 以支持 PKI 证书撤销列表

在 V9.6.0.1 和更高版本中,可以将 IBM® Rational® DOORS® Web Access 配置为使用公共密钥基础结构 (PKI) 证书撤销列表来管理用户访问权。

开始之前

要使用 CRL,管理员必须配置 IBM Rational DOORSRational DOORS Web Access 以启用 PKI 支持和加密合规性。

关于此任务

CRL 是已签署的数据结构,此结构包含一个带时间戳记的列表来标识已撤销的证书。认证将不再信任已撤销的证书。通常情况下,当用户的雇佣状态或任务发生更改时,或者当用户的证书或对应专用密钥受损时,CRL 会阻止访问。

客户机证书和 CRL 必须满足以下条件:

注: Rational DOORS Web Access 对 CRL 同时支持 DER(二进制)和 PEM(基本 64 位)格式。Rational DOORS 仅支持 DER 格式。

过程

要配置 Rational DOORS Web Access 以支持 CRL,请修改用于启动 Apache Tomcat 服务器的脚本。

  1. 在编辑器中打开 Apache Tomcat 服务器的启动脚本。
    • 在 Windows 系统上,server.start.bat 脚本文件位于 Rational DOORS Web Access 安装目录中;例如,C:\Program Files (x86)\IBM\Rational\DOORS Web Access\9.version
    • 在 Linux 系统上,server.start.sh 脚本文件位于 Rational DOORS Web Access 安装目录中。
  2. 设置系统属性以启用 CRL 支持。
    • 在 Windows 系统上,将以下代码添加到该文件末尾附近 cd %CATALINA_HOME%\bin 条目前面:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.checkRevocation=true -Dcom.ibm.security.enableCRLDP=true
    • 在 Linux 系统上,将以下代码添加到 export JAVA_OPTS 条目前面:
      JAVA_OPTS=$JAVA_OPTS -Dcom.ibm.jsse2.checkRevocation=true -Dcom.ibm.security.enableCRLDP=true
    注: 可通过添加以下系统属性来启用 SSL 调试:
    -Djavax.net.debug=sslor
    -Djavax.net.debug=ssl,handshake
  3. 保存并关闭该启动脚本文件。

示例

有关如何在该启动脚本中做出其他编辑的示例,请参阅在 Rational DOORS Web Access 中配置 FIPS 140-2 合规性

反馈