Karty Smart Card i certyfikaty TLS

Certyfikaty TLS (Transport Layer Security) zapewniają bezpieczną szyfrowaną komunikację między serwerem IBM Engineering Requirements Management DOORS (DOORS) i klientem DOORS . Gdy użytkownicy logują się do produktu DOORS przy użyciu karty Smart Card, używane są certyfikaty TLS.

Certyfikaty TLS i magazyny kluczy

Klient wysyła certyfikat do serwera w celu sprawdzenia poprawności, a serwer wysyła certyfikat do klienta w celu sprawdzenia poprawności. Sprawdzanie poprawności jest wykonywane przez magazyny kluczy. Magazyn kluczy klienta sprawdza poprawność certyfikatu serwera, a magazyn kluczy serwera sprawdza poprawność certyfikatu klienta.

Certyfikaty mogą być zorganizowane w strukturze drzewa, a certyfikat główny znajduje się u góry drzewa. Wszystkie certyfikaty w drzewie dziedziczą wiarygodność certyfikatu głównego. Magazyny kluczy mogą sprawdzać poprawność każdego certyfikatu osobno. Jeśli magazyn kluczy sprawdza poprawność certyfikatu głównego, sprawdzana jest również poprawność każdego certyfikatu.

Domyślnie produkt DOORS jest instalowany z certyfikatami TLS udostępnianymi przez pakiet IBM GSKit i dwoma magazynami kluczy, które są gotowe do użycia.

Magazyny kluczy znajdują się w folderze certdb . Magazyn kluczy klienta to client_authentication.kdb, a magazyn kluczy serwera to server_authentication.kdb.

Magazyn kluczy client_authentication.kdb zawiera certyfikat, który klient może wysłać do serwera o nazwie IBM_CL1, a magazyn kluczy server_authentication.kdb zawiera certyfikat o nazwie IBM_SV1 , który serwer może wysłać do klienta. Certyfikat IBM_SV1 zawiera nazwę komputera, na którym działa serwer. Domyślna nazwa to IBMEDSERV.

Magazyn kluczy klienta zawiera również certyfikat główny drzewa zawierającego certyfikat serwera, który jest używany przez magazyn kluczy klienta do sprawdzania poprawności certyfikatu serwera. Na przykład magazyn kluczy client_authentication.kdb zawiera certyfikat główny drzewa, które zawiera certyfikat IBM_SV1 , i używa certyfikatu głównego do sprawdzania poprawności pliku IBM_SV1. Magazyn kluczy serwera zawiera certyfikat główny drzewa, który zawiera certyfikat klienta, i używa go do sprawdzenia poprawności certyfikatu klienta.

Jeśli serwer produktu DOORS zostanie uruchomiony w trybie bezpiecznym, wszystkie klienty produktu DOORS nawiązują bezpieczne połączenia z serwerem. Jeśli przełączniki wiersza komend nie zostaną określone, zostaną użyte następujące ustawienia domyślne:
  • server_authentication.kdb to nazwa magazynu kluczy serwera.
  • IBM_SV1 jest nazwą certyfikatu
  • IBMEDSERV to nazwa serwera

Można zmienić ustawienia domyślne i skonfigurować system zgodnie ze specyfikacją. Aby określić własne ustawienia, należy uruchomić przełączniki wiersza komend w celu określenia innego magazynu kluczy, nazwy certyfikatu lub nazwy serwera. Na przykład można zmienić IBM_SV1 na inną nazwę certyfikatu lub zmienić IBMEDSERV na inną nazwę serwera.

Certyfikaty kart Smart Card i nazwy wyróżniające

Jeśli używane są karty Smart Card, certyfikat klienta nie znajduje się w kliencie DOORS . Zamiast tego certyfikat klienta znajduje się na karcie Smart Card wraz z nazwą wyróżniającą (DN), która jest powiązana z użytkownikiem. Certyfikat na karcie Smart Card jest identyfikowany przez etykietę certyfikatu. Użytkownik jest identyfikowany przez nazwę wyróżniającą. Nazwa wyróżniająca składa się z par atrybut=wartość oddzielonych przecinkami:
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

Certyfikaty magazynu kluczy

Jeśli używane są certyfikaty magazynu kluczy, certyfikat znajduje się w magazynie kluczy wraz z nazwą wyróżniającą (DN), która jest powiązana z użytkownikiem. Certyfikat magazynu kluczy jest identyfikowany przez etykietę certyfikatu, a użytkownik przez nazwę wyróżniającą. Nazwa wyróżniająca składa się z par atrybut=wartość oddzielonych przecinkami:
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

Nazwy wyróżniające i konto administratora

Konto administratora pomija wszystkie sprawdzenia praw dostępu i jest używane tylko wtedy, gdy jest to absolutnie konieczne, na przykład, gdy żaden inny użytkownik nie może się zalogować lub gdy inni użytkownicy nie mogą uzyskać dostępu do części bazy danych. Jeśli używane są karty Smart Card i certyfikaty, należy powiązać nazwę wyróżniającą (DN) z administratorem, aby administrator mógł uzyskać dostęp do bazy danych.

Proces konfiguracji

Aby skonfigurować system do używania kart Smart Card i certyfikatów TLS (Transport Layer Security):
  1. Skonfiguruj użytkowników.

    Przed włączeniem uwierzytelniania na karcie dla serwera należy skonfigurować użytkowników kart Smart Card. Aby skonfigurować użytkownika, należy powiązać go z nazwą wyróżniającą.

  2. Powiąż nazwę wyróżniającą z użytkownikiem administracyjnym.

    Należy powiązać nazwę wyróżniającą (DN) z administratorem, aby umożliwić mu dostęp do bazy danych.

  3. Włącz uwierzytelnianie za pomocą karty Smart Card na serwerze bazy danych.
  4. Włącz uwierzytelnianie za pomocą karty Smart Card w kliencie.

Dalsze czynności

Skonfiguruj użytkowników. Jeśli używane jest uwierzytelnianie przy użyciu infrastruktury klucza publicznego (PKI), należy postępować zgodnie z instrukcjami zawartymi w sekcji Konfigurowanie użytkowników uwierzytelniania przy użyciu klucza publicznego (PKI). Jeśli używane jest uwierzytelnianie MCS (Microsoft™ Certificate Store), postępuj zgodnie z instrukcjami w sekcji Konfigurowanie użytkowników uwierzytelniania MCS.