バージョン 9.6.0.1 以降では、ユーザー・アクセス管理に Public Key Infrastructure (PKI) 証明書失効リスト (CRL) を
使用するように IBM® Rational® DOORS® Web Access を
構成できます。
始める前に
CRL を使用するには、管理者が、PKI サポートと暗号化準拠を
有効にするように
IBM Rational DOORS および
Rational DOORS Web Access を
構成する必要があります。
このタスクについて
CRL は、失効した証明書が識別されるタイム・スタンプ付きリストが含まれる署名付きデータ構造体です。
失効した証明書は、認証用には信頼されなくなっています。
通常、ユーザーの雇用状況や地位が変わったとき、またはユーザーの証明書や、
それに対応する秘密鍵が漏えいしたときに、CRL によってアクセスがブロックされます。
クライアント証明書および CRL は、以下の条件を満たしていなければなりません。
- 認証局 (CA) がクライアント証明書要求に署名して拡張情報 (CRL ファイルへの URL など) を組み込む必要があります。
有効な CRL 拡張詳細が含まれていないクライアント証明書は拒否されます。
- CRL の有効期限が切れた場合、Apache Tomcat はサービスへの接続を拒否します。
- 有効期限が切れていない古い CRL ファイルがロードされた場合、失効した証明書を持つ新しい CRL はロードされません。
- 失効した証明書が、まだロードされていない新しい CRL ファイルにリストされている場合、
失効リストに含まれるユーザーは依然としてアプリケーションにアクセスできます。
注: Rational DOORS Web Access は CRL に対して DER (バイナリー) 形式と PEM (Base64) 形式の両方をサポートしています。
Rational DOORS は DER 形式のみをサポートしています。
手順
CRL をサポートするように Rational DOORS Web Access を構成するには、Apache Tomcat サーバーの始動に使用される
スクリプトを変更します。
- Apache Tomcat サーバーの始動スクリプトをエディターで開きます。
- Windows システムの
場合、server.start.bat スクリプト・ファイルは Rational DOORS Web Access インストール・ディレクトリー (例: C:¥Program Files (x86)¥IBM¥Rational¥DOORS Web Access¥9.version) にあります。
- Linux システムの場合、server.start.sh スクリプト・ファイルは、Rational
DOORS Web Access インストール・ディレクトリーにあります。
- CRL サポートが有効になるようにシステム・プロパティーを設定します。
注: 次のシステム・プロパティーを追加すれば、SSL デバッグを有効にすることができます。
-Djavax.net.debug=sslor
または
-Djavax.net.debug=ssl,handshake
- 始動スクリプト・ファイルを保存して閉じます。