V9.6.0.1:配置 Rational DOORS 以支持 PKI 证书撤销列表

在 V9.6.0.1 和更高版本中,可以将 IBM® Rational® DOORS® 配置为使用公共密钥基础结构 (PKI) 证书撤销列表 (CRL) 来管理用户访问权。

开始之前

要使用 CRL,管理员必须配置 Rational DOORS 以启用 PKI 支持和加密合规性。有关详细信息,请参阅为 Rational DOORS 配置智能卡和证书

关于此任务

CRL 是已签署的数据结构,此结构包含一个带时间戳记的列表来标识已撤销的证书。认证将不再信任已撤销的证书。通常情况下,当用户的雇佣状态或任务发生更改时,或者当用户的证书或对应专用密钥受损时,CRL 会阻止访问。

客户机证书和 CRL 必须满足以下条件:

如果 PKI 证书用于用户认证,那么您可以配置数据库服务器以支持 CRL。启用了对 CRL 的支持后,当用户尝试登录时,服务器将检查客户机证书以验证证书是否未被撤销。

管理员将使用 dbadmin 命令来设置服务器的 CRL 选项。服务器会将 CRL 设置发送到服务器日志。如果关于 CRL 的诊断信息可用,那么在验证证书时,服务器将记录此信息。

可以使 Rational DOORS 客户机能够在您打开此客户机时对服务器证书执行 CRL 检查。请在命令行上将 CRL 选项与 doors.exe 命令一起指定,或者在注册表中设置键和值。拥有相应许可权来查看客户机中数据库属性的用户可以检查服务器所使用的 CRL 选项。

如果已撤销的用户证书被服务器拒绝,那么客户机将显示以下消息:
The user certificate was not validated.
Some possible reasons for the error:
1. the server does not trust the whole certificate chain
2. the user certificate has been revoked
3. the user certificate CRL is not available
DOORS will now exit.
将在服务器日志中发布以下消息:
received invalid socket: boost::exception_detail::clone_impl<class SecureCommsException>: GSKit SocInit failed: GSK_ERROR_BAD_CERT -- unable to validate the client certificate
- the certificate chain might not be trusted
- the certificate might be revoked
- the certificate CRL might not be available
如果已撤销的服务器证书被客户机拒绝,那么客户机将显示以下消息:
Unable to validate the server certificate. The server certificate has been revoked.
DOORS will now exit.

服务器将使用最新的可用选项设置来验证证书。如果您更改 CRL 选项,那么必须重新启动服务器才能应用更改。

注: Rational DOORS 对 CRL 仅支持 DER 格式。Rational DOORS Web Access 同时支持 DER(二进制)和 PEM(基本 64 位)格式。

过程

  1. 使用以下 dbadmin 命令开关和参数来设置这些选项,从而在 Rational DOORS 数据库服务器上启用对 CRL 的支持。有关如何使用 dbadmin 命令的详细信息,请参阅数据库服务器的命令行开关
    dbadmin 开关和参数 描述
    -useHttpCrl true | false

    启用针对用户认证的 CRL 检查。

    缺省值:false

    -useHttpCrlCache true | false

    确定高速缓存是否用于 CRL 检查。

    缺省值:false

    -httpCrlCacheSize size

    指定启用 CRL 检查时高速缓存中的条目数。请将该值设置为 32 或更低,因为 CRL 可能很大。

    缺省值:32

    -httpCdpMaxResponseSize number-of-bytes

    检索 CRL 时从 HTTP Server 接受的响应的最大大小。该值不是 CRL 文件本身的大小。

    缺省值:204800 字节

    -httpCdpTimeout seconds

    CRL 对来自 HTTP Server 的响应的等待超时值。

    缺省值:5 秒

  2. 要检查数据库服务器上的 CRL 选项设置,请输入以下命令:
    dbadmin -showCrlOptions
  3. 要在 Rational DOORS 客户机上启用对 CRL 的支持,请执行以下任务之一:
    • 从命令行打开 Rational DOORS 客户机时,使用开关和参数值,如以下示例中所示:
      doors.exe -useHttpCrl -httpCdpMaxResponseSize 500000 -httpCdpTimeout 10
    • 在注册表中的 Rational DOORS 客户机文件夹内设置注册表键和值。以下是注册表位置的示例:
      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Telelogic\DOORS\9.version\Config
    命令行开关和注册表键 描述
    命令行开关:-useHttpCrl

    注册表键:useHttpCrl

    使客户机能够对服务器证书执行 CRL 检查。请勿对此命令行开关随附参数值。缺省情况下,不会启用 CRL 检查。

    在注册表中指定此设置时,必须对 useHttpCrl 键随附值。缺省情况下,该值为 false。将该值设置为 true 以启用客户机的 CRL 检查。

    命令行开关:-httpCdpMaxResponseSize number_of_bytes

    注册表键:httpCdpMaxResponseSize

    设置在检索 CRL 时从 HTTP Server 接受的响应的最大大小。该值不是 CRL 文件本身的大小。

    缺省值:204800 字节

    命令行开关:-httpCdpTimeout seconds

    注册表键:httpCdpTimeout

    设置 CRL 对来自 HTTP Server 的响应的等待超时值。

    缺省值:5 秒

  4. 要查看 Rational DOORS 客户机中的 CRL 选项设置,请打开“登录属性”窗口,然后单击策略选项卡。 这些设置在客户机中为只读,因为它们是通过使用 dbadmin 命令来设置。如果选中了启用 CRL 撤销检查复选框,那么您可以单击 CRL 选项按钮来查看为数据库服务器设置的选项。

反馈