Der Client sendet ein Zertifikat an den Server zur Überprüfung und der Server sendet ein Zertifikat zum Client zur Überprüfung. Die Überprüfung erfolgt über Keystores. Ein Client-Keystore überprüft das Serverzertifikat und ein Server-Keystore überprüft das Clientzertifikat.
Zertifikate werden mit einer Baumstruktur verwaltet. Das Stammzertifikat befindet sich in der Baumstruktur ganz oben. Alle Zertifikate in der Baumstruktur übernehmen die Vertrauenswürdigkeit des Stammzertifikats. Keystores können jedes Zertifikat einzeln überprüfen. Wenn der Keystore das Stammzertifikat überprüft, werden auch alle anderen Zertifikate überprüft.
Standardmäßig wird Rational DOORS mit sofort verwendbaren TLS-Zertifikaten installiert, die von IBM® GSKit und zwei Keystores bereitgestellt werden.
Die Keystores befinden sich im Ordner certdb. Der Client-Keystore ist client_authentication.kdb und der Server-Keystore ist server_authentication.kdb.
Der Keystoreclient_authentication.kdb enthält ein Zertifikat, das der Client an den Server IBM_CL1 senden kann. Der Keystore server_authentication.kdb enthält das Zertifikat IBM_SV1, das der Server zum Client senden kann. Das Zertifikat IBM_SV1 enthält den Namen des Computers, auf dem der Server ausgeführt wird. Der Name lautet standardmäßig IBMEDSERV.
Der Client-Keystore enthält außerdem das Stammzertifikat der Baumstruktur, in der das Serverzertifikat enthalten ist. Mit diesem Stammzertifikat überprüft der Client-Keystore das Serverzertifikat. Beispiel: Der Keystore client_authentication.kdb enthält das Stammzertifikat der Baumstruktur, in der das Zertifikat IBM_SV1 enthalten ist, und verwendet das Stammzertifikat zur Überprüfung von IBM_SV1. Der Server-Keystore enthält das Stammzertifikat der Baumstruktur, in der das Clientzertifikat enthalten ist, und verwendet dieses zur Überprüfung des Clientzertifikats.
Sie können die Standardeinstellungen ändern und für Ihr System eigene Spezifikationen festlegen. Um Ihre eigenen Einstellungen anzugeben, führen Sie Befehlszeilenoptionen aus, um einen anderen Keystore, Zertifikatsnamen oder Servernamen festzulegen. Sie können z. B. IBM_SV1 zu einem anderen Zertifikatsnamen oder IBMEDSERV zu einem anderen Servernamen ändern.
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales
Bevor Sie eine Kartenauthentifizierung für einen Server aktivieren können, müssen Sie Chipkartenbenutzer einrichten. Sie richten einen Benutzer ein, indem Sie dem Benutzer einen Distinguished Name zuweisen.
Sie müssen einem Benutzer mit Administratorberechtigung einen Distinguished Name (DN) zuweisen, sodass der Benutzer mit Administratorberechtigung auf die Datenbank zugreifen kann.