Работа с протоколом проверки состояния сертификатов (OCSP)

IBM® MQ выбирает промежуточного клиента OCSP (Протокол проверки состояния сертификатов) и обрабатывает полученный ответ. Дополнительно может потребоваться предоставить доступ к промежуточному клиенту OCSP.

Объект идентификационной информации содержит идентификационные данные, применяемые в ходе проверки сертификата TLS с учетом списка аннулированных сертификатов.
Прим.: Эта информация применяется только к IBM MQ в системах UNIX и Windows. В следующей таблице показана поддержка идентификационной информации TLS IBM MQ для разных платформ:
Табл. 1. Поддержка идентификационной информации в IBM MQ TLS на разных платформах
Платформа Поддержка
[Windows]IBM MQ в системах Windows Реализация TLS IBM MQ проверяет аннулированные сертификаты с помощью OCSP, а также с помощью CRL и ARL на серверах LDAP (OCSP является предпочитаемым способом). IBM MQ classes for Java™ не может использовать информацию OCSP в файле таблицы определений каналов клиента. Но можно настроить OCSP (см. раздел Аннулированные сертификаты и OCSP в IBM Knowledge Center).
[UNIX]IBM MQ в системах UNIX Реализация TLS IBM MQ проверяет аннулированные сертификаты с помощью OCSP, а также с помощью CRL и ARL на серверах LDAP (OCSP является предпочитаемым способом). IBM MQ classes for Java не может использовать информацию OCSP в файле таблицы определений каналов клиента. Но можно настроить OCSP (см. раздел Аннулированные сертификаты и OCSP в IBM Knowledge Center).
[z/OS]IBM MQ в системах z/OS Реализация TLS IBM MQ проверяет аннулированные сертификаты только с помощью CRL и ARL на серверах LDAP. IBM MQ в системах z/OS не может использовать OCSP.
[z/OS]IBM MQ в системах IBM i Реализация TLS IBM MQ проверяет аннулированные сертификаты только с помощью CRL и ARL на серверах LDAP. IBM MQ в системах IBM i не может использовать OCSP.
В ходе проверки состояния цифрового сертификата с помощью OCSP IBM MQ выбирает промежуточного клиента одним из следующих способов:
  • С помощью расширения AuthorityInfoAccess (AIA) в проверяемом сертификате.
  • С помощью URL, указанного в объекте идентификационных данных или указанного приложением-клиентом.

URL, указанный в объекте информации о соединении или в приложении-клиенте, обладает более высоким приоритетом по сравнению с URL из расширения сертификата AIA.

URL промежуточного клиента OCSP может быть расположен за брандмауэром; в этом случае необходимо разрешить доступ к промежуточному клиенту OCSP или настроить прокси-сервер OCSP. Укажите имя прокси-сервера с помощью переменной SSLHTTPProxyName из раздела SSL. В системах клиентов имя прокси-сервера можно указать с помощью переменной среды MQSSLPROXY.

Если проверка сертификатов TLS не требуется (например, в тестовой среде), то для свойства OCSPCheckExtensions в разделе SSL можно указать значение NO. Если эта переменная указана, то все расширения сертификатов AIA игнорируются. Такое решение не подходит для рабочей среды, в которой рекомендуется запрещать доступ пользователей с аннулированными сертификатами.

Промежуточный клиент OCSP может возвратить один из следующих трех ответов:
Действителен
Сертификат действителен.
Аннулирован
Сертификат аннулирован.
Неизвестно
Возможные причины такого результата:
  • IBM MQ не может обратиться к промежуточному клиенту OCSP.
  • Промежуточный клиент OCSP отправил ответ, однако IBM MQ не может проверить цифровую подпись ответа.
  • Промежуточный клиент OCSP не обладает данными об отзыве сертификата.

По умолчанию IBM MQ отклоняет соединение при получении ответа Неизвестно и выдает сообщение об ошибке. При необходимости эту функцию можно настроить с помощью атрибута OCSPAuthentication. Он находится в разделе SSL файла qm.ini (UNIX), в реестре (WebSphere) или в разделе SSL файла конфигурации клиента. На поддерживаемых платформах его можно настроить с помощью IBM MQ Explorer.

Результат OCSP Неизвестно

Действия IBM MQ в ответ на получение результата OCSP Неизвестно зависят от значения атрибута OCSPAuthentication. В случае администраторов очередей этот атрибут находится в разделе SSL файла qm.ini (UNIX) или в реестре (Windows). Его можно настроить с помощью IBM MQ Explorer. В случае клиентов он расположен в разделе SSL файла конфигурации клиента.

Если для атрибута OCSPAuthentication указано значение REQUIRED (значение по умолчанию), то при получении результата Неизвестно IBM MQ отклоняет соединение и выдает сообщение об ошибке типа AMQ9716. Если включены сообщения событий SSL администратора очередей, то создается сообщение события типа MQRC_CHANNEL_SSL_ERROR, для параметра ReasonQualifier которого указано значение MQRQ_SSL_HANDSHAKE_ERROR.

Если для атрибута OCSPAuthentication указано значение OPTIONAL, то при получении результата Неизвестно IBM MQ разрешает запуск канала SSL без создания предупреждений и сообщений событий SSL.

Если для атрибута OCSPAuthentication указано значение WARN, то при получении результата Неизвестно IBM MQ разрешает запуск канала SSL и заносит в протокол ошибок предупреждение типа AMQ9717. Если включены сообщения событий SSL администратора очередей, то создается сообщение события типа MQRC_CHANNEL_SSL_WARNING, для параметра ReasonQualifier которого указано значение MQRQ_SSL_UNKNOWN_REVOCATION.

Цифровое подписание ответов OCSP

Промежуточный клиент OCSP может подписывать ответы тремя способами. Отвечающая сторона должна предоставить информацию о применяемом способе.
  • Для подписания ответа OCSP можно использовать сертификат той же сертификатной компанией (CA), которая выпустила проверяемый сертификат. В этом случае не требуется настраивать дополнительный сертификат; действия по настройке соединения SSL позволяют обеспечить проверку ответа OCSP.
  • Для подписания ответа OCSP можно использовать другой сертификат, подписанный той же сертификатной компанией (CA), которая выпустила проверяемый сертификат. В этом случае сертификат подписи передается вместе с ответом OCSP. Сертификат, полученный от промежуточного клиента OCSP, должен содержать формат расширенного ключа id-kp-OCSPSigning. Поскольку вместе с ответом OCSP передается сертификат (этот сертификат подписан CA, которая уже входит в число надежных), дополнительная настройка сертификатов не требуется.
  • Для подписания ответа OCSP можно использовать другой сертификат, не связанный с проверяемым сертификатом. В этом случае ответ OCSP подписан сертификатом, выпущенным самим промежуточным клиентом OCSP. Необходимо добавить сертификат промежуточного клиента OCSP в базу данных ключей клиента или администратора очередей, выполняющего проверку OCSP. См. Добавление сертификата CA (или компонента CA собственного сертификата) в хранилище ключей in IBM Knowledge Center. Сертификат CA по умолчанию добавляется в качестве надежного базового сертификата. Если сертификат не добавлен, то IBM MQ не сможет проверить цифровую подпись ответа OCSP и проверка OCSP возвратит результат Неизвестно, который может привести к закрытию канала со стороны IBM MQ в зависимости от значения параметра OCSPAuthentication.