该主题帮助您将 AppScan® 源 设置为允许支持 AppScanEnterprise Server 的连接进行通用卡 (CAC) 认证。
开始之前
CAC 认证仅在 Windows 上受支持,而仅用于连接到 AppScanEnterprise Server V9.0.3.1 iFix-001 和更高版本。
过程
-
确保 AppScanEnterprise Server 尚未设置为进行 CAC 认证。
-
以 AppScan 源 管理员身份登录 AppScan Source for Analysis 或 AppScan Source 命令行界面 (CLI)。
-
遵循 HCL® AppScan 源 安装和管理指南 中的指示信息将所有 AppScanEnterprise Server 用户设置具有所有许可权。这会将 AppScanEnterprise Server 用户的初始缺省许可权设置为完整管理访问权,但在 CAC 设置完成后,您将能够更改缺省许可权以符合组织的需求。
-
退出或关闭所有 AppScan 源 客户机应用程序。
-
设置 AppScanEnterprise Server 以允许 CAC 认证
-
遵循 HCL AppScan 源 安装和管理指南 中的指示信息将 AppScan 源数据库 注册到支持通用访问卡 (CAC) 认证的 AppScanEnterprise Server。
-
打开 <data_dir>\config\ounce.ozsettings(其中 <data_dir> 是 AppScan 源 程序数据的位置,如安装和用户数据文件位置))。在此文件中,找到以下设置:
<Setting
name="client_cert_auth"
value="false"
default_value="false"
description="Uses client certificate authentication"
display_name="Uses client certificate authentication"
type="boolean"
read_only="true"
hidden="true"
/>
-
在此设置中,将
value="false"
更改为 value="true"
,然后保存文件。
-
如果要从 AppScan Source for Analysis 或 AppScan Source for Development Eclipse 插件 登录 AppScanEnterprise Server:
-
在 Java™ 安装目录中,找到 jre/lib/security/java.security。对于 AppScan Source for Analysis,jre 文件夹位于 AppScan 源 安装目录中。创建该文件的备份副本。
-
编辑 java.security。
-
在提供程序及其优先顺序的列表中,添加
com.ibm.security.capi.IBMCAC
作为第一个安全提供程序。例如,如果要编辑 java.security 以用于 AppScan Source for Analysis,将以下内容:
security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.2=com.ibm.jsse2.IBMJSSEProvider2
security.provider.3=com.ibm.crypto.provider.IBMJCE
security.provider.4=com.hcl.securitycert.IBMCertPath
security.provider.5=sun.security.provider.Sun
更改后:
security.provider.1=com.ibm.security.capi.IBMCAC
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
security.provider.4=com.ibm.crypto.provider.IBMJCE
security.provider.5=com.hcl.securitycert.IBMCertPath
security.provider.6=sun.security.provider.Sun
-
保存并关闭 java.security 文件。
-
以 AppScan 源 管理员身份登录到 AppScan Source for Analysis 或使用的 CAC 认证的 AppScan Source 命令行界面 (CLI)。
-
更改 AppScanEnterprise Server 用户的缺省许可权以满足组织的需求。
下一步做什么
如果想要强制实施联邦信息处理标准 (FIPS) 方式,那么您的证书不能是 SHA-1。可通过使用 SHA-2 证书并按HCL AppScan 源 安装和管理指南中的描述运行 appscanserverdbmgr_cac_fips.bat 工具来强制实施 FIPS 方式。在本指南中,找到将 AppScan 源数据库 注册到支持通用访问卡 (CAC) 认证的 AppScanEnterprise Server 的帮助。
要确定您具有的证书:
- 打开 Windows 证书管理器:在 Windows 开始菜单中,在搜索框中输入 certmgr.msc,然后按 Enter。如果提示您输入管理员密码或对密码进行确认,请输入密码或进行确认。
- 通过双击用户界面上的打开操作来打开证书。
- 选择证书中的“详细信息”选项卡。
- 找到签名散列算法字段。该字段的值指示证书的类型。