启用通用访问卡 (CAC) 认证

该主题帮助您将 AppScan® 设置为允许支持 AppScan®Enterprise Server 的连接进行通用卡 (CAC) 认证。

开始之前

CAC 认证仅在 Windows 上受支持。AppScan® 支持使用“备用名 - 多域 (SAN)”证书进行 CAC 认证。

过程

  1. 如果您使用的较旧 AppScan® 安装版本采用 SolidDB,请首先执行以下步骤。如果正在使用已与 AppScan®Enterprise Server(作为数据库)连接的较新安装,请继续执行步骤 2。
    1. 确保 AppScan Enterprise Server 尚未设置为进行 CAC 认证。
    2. AppScan® 管理员身份登录 AppScan® Source for AnalysisAppScan® Source 命令行界面 (CLI)
    3. 请根据安装说明信息将所有 AppScan®Enterprise Server 用户设置为具有所有许可权。这会将 AppScan®Enterprise Server 用户的初始缺省许可权设置为完整管理员访问权。但是,在 CAC 设置完成后,您将能够更改缺省许可权以符合组织的需求。
    4. 退出或关闭所有 AppScan® 客户机应用程序。
  2. 设置 AppScan®Enterprise Server 以允许 CAC 认证
  3. 打开 <data_dir>\config\ounce.ozsettings(其中 <data_dir>AppScan® 程序数据的位置,如安装和用户数据文件位置)。在此文件中,找到以下设置: 
    <Setting
		 name="client_cert_auth"
		 value="false"
		 default_value="false"
		 description="Uses client certificate authentication"
		 display_name="Uses client certificate authentication"
		 type="boolean"
		 read_only="true"
		 hidden="true"
	/>
  4. 在此设置中,将 value="false" 更改为 value="true",然后保存文件。
  5. 如果要从 AppScan® Source for AnalysisAppScan® Source for Development Eclipse 插件 登录 AppScan®Enterprise Server
    1. Java 安装目录中,找到 jre/lib/security/java.security。对于 AppScan® Source for Analysisjre 文件夹位于 AppScan® 安装目录中。创建该文件的备份副本。
    2. 编辑 java.security
    3. 在提供程序及其优先顺序的列表中,添加 com.ibm.security.capi.IBMCAC 作为第一个安全提供程序。例如,如果要编辑 java.security 以用于 AppScan® Source for Analysis,将以下内容: 
      security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.2=com.ibm.jsse2.IBMJSSEProvider2
security.provider.3=com.ibm.crypto.provider.IBMJCE
security.provider.4=com.hcl.securitycert.IBMCertPath
security.provider.5=sun.security.provider.Sun

      更改后:

      security.provider.1=com.ibm.security.capi.IBMCAC
security.provider.2=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.3=com.ibm.jsse2.IBMJSSEProvider2
security.provider.4=com.ibm.crypto.provider.IBMJCE
security.provider.5=com.hcl.securitycert.IBMCertPath
security.provider.6=sun.security.provider.Sun
    4. 保存并关闭 java.security 文件。
  6. 如果要将 SolidDB 用作 AppScan® 数据库,请执行以下操作:
    1. AppScan® 管理员身份登录 AppScan® Source for Analysis
    2. 更改 AppScan®Enterprise Server 用户的缺省许可权以满足组织的需求。
      如果许可权使用基于 SAN(主题备用名)的认证,请确保在登录到 AppScan® 时使用证书中的正确用户名。

下一步做什么

如果想要强制实施联邦信息处理标准 (FIPS) 方式,那么您的证书不能是 SHA-1。

要确定您具有的证书:

  1. 打开 Windows 证书管理器:在 Windows 开始菜单中,在搜索框中输入 certmgr.msc,然后按 Enter。如果提示您输入管理员密码或对密码进行确认,请输入密码或进行确认。
  2. 通过双击用户界面上的打开操作来打开证书。
  3. 选择证书中的“详细信息”选项卡。
  4. 找到签名散列算法字段。该字段的值指示证书的类型。