CRL 是已签署的数据结构,此结构包含一个带时间戳记的列表来标识已撤销的证书。认证将不再信任已撤销的证书。通常情况下,当用户的雇佣状态或任务发生更改时,或者当用户的证书或对应专用密钥受损时,CRL 会阻止访问。
客户机证书和 CRL 必须满足以下条件:
如果 PKI 证书用于用户认证,那么您可以配置数据库服务器以支持 CRL。启用了对 CRL 的支持后,当用户尝试登录时,服务器将检查客户机证书以验证证书是否未被撤销。
管理员将使用 dbadmin 命令来设置服务器的 CRL 选项。服务器会将 CRL 设置发送到服务器日志。如果关于 CRL 的诊断信息可用,那么在验证证书时,服务器将记录此信息。
可以使 Rational DOORS 客户机能够在您打开此客户机时对服务器证书执行 CRL 检查。请在命令行上将 CRL 选项与 doors.exe 命令一起指定,或者在注册表中设置键和值。拥有相应许可权来查看客户机中数据库属性的用户可以检查服务器所使用的 CRL 选项。
The user certificate was not validated.
Some possible reasons for the error:
1. the server does not trust the whole certificate chain
2. the user certificate has been revoked
3. the user certificate CRL is not available
DOORS will now exit.
将在服务器日志中发布以下消息:received invalid socket: boost::exception_detail::clone_impl<class SecureCommsException>: GSKit SocInit failed: GSK_ERROR_BAD_CERT -- unable to validate the client certificate
- the certificate chain might not be trusted
- the certificate might be revoked
- the certificate CRL might not be available
Unable to validate the server certificate. The server certificate has been revoked.
DOORS will now exit.
服务器将使用最新的可用选项设置来验证证书。如果您更改 CRL 选项,那么必须重新启动服务器才能应用更改。