V9.6.0.1: PKI 証明書失効リストをサポートするように Rational DOORS Web Access を構成

バージョン 9.6.0.1 以降では、ユーザー・アクセス管理に Public Key Infrastructure (PKI) 証明書失効リスト (CRL) を 使用するように IBM® Rational® DOORS® Web Access を 構成できます。

始める前に

CRL を使用するには、管理者が、PKI サポートと暗号化準拠を 有効にするように IBM Rational DOORS および Rational DOORS Web Access を 構成する必要があります。

このタスクについて

CRL は、失効した証明書が識別されるタイム・スタンプ付きリストが含まれる署名付きデータ構造体です。 失効した証明書は、認証用には信頼されなくなっています。 通常、ユーザーの雇用状況や地位が変わったとき、またはユーザーの証明書や、 それに対応する秘密鍵が漏えいしたときに、CRL によってアクセスがブロックされます。

クライアント証明書および CRL は、以下の条件を満たしていなければなりません。

注: Rational DOORS Web Access は CRL に対して DER (バイナリー) 形式と PEM (Base64) 形式の両方をサポートしています。 Rational DOORS は DER 形式のみをサポートしています。

手順

CRL をサポートするように Rational DOORS Web Access を構成するには、Apache Tomcat サーバーの始動に使用される スクリプトを変更します。

  1. Apache Tomcat サーバーの始動スクリプトをエディターで開きます。
    • Windows システムの 場合、server.start.bat スクリプト・ファイルは Rational DOORS Web Access インストール・ディレクトリー (例: C:¥Program Files (x86)¥IBM¥Rational¥DOORS Web Access¥9.version) にあります。
    • Linux システムの場合、server.start.sh スクリプト・ファイルは、Rational DOORS Web Access インストール・ディレクトリーにあります。
  2. CRL サポートが有効になるようにシステム・プロパティーを設定します。
    • Windows システムの場合は、 次のコードを、ファイルの終わり近くにある cd %CATALINA_HOME%¥bin 項目の前に追加します。
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.checkRevocation=true -Dcom.ibm.security.enableCRLDP=true
    • Linux システムの場合は、次のコードを export JAVA_OPTS 項目の前に追加します。
      JAVA_OPTS=$JAVA_OPTS -Dcom.ibm.jsse2.checkRevocation=true -Dcom.ibm.security.enableCRLDP=true
    注: 次のシステム・プロパティーを追加すれば、SSL デバッグを有効にすることができます。
    -Djavax.net.debug=sslor 
    または
    -Djavax.net.debug=ssl,handshake
  3. 始動スクリプト・ファイルを保存して閉じます。

始動スクリプトで他の編集を行う方法の 例については、『Rational DOORS Web Access での FIPS 140-2 準拠の構成』を 参照してください。

フィードバック