Trabalhando com Online Certificate Status Protocol (OCSP)
O IBM® MQ determina qual respondente Online Certificate Status Protocol (OCSP) usar e manipula a resposta recebida. Pode ser necessário concluir etapas para tornar o respondente do OCSP acessível.
Plataforma | Suporte |
---|---|
O ![]() |
O TLS do IBM MQ suporta verificações de certificados revogados usando OCSP ou usando CRLs e ARLs em servidores LDAP, com OCSP como o método preferencial. IBM MQ classes for Java™ não pode usar as informações do OCSP em um arquivo da tabela de definição de canal do cliente. No entanto, é possível configurar o OCSP conforme descrito em Certificados Revogados e OCSP na IBM Knowledge Center. |
O ![]() |
O TLS do IBM MQ suporta verificações de certificados revogados usando OCSP ou usando CRLs e ARLs em servidores LDAP, com OCSP como o método preferencial. IBM MQ classes for Java não pode usar as informações do OCSP em um arquivo da tabela de definição de canal do cliente. No entanto, é possível configurar o OCSP conforme descrito em Certificados Revogados e OCSP na IBM Knowledge Center. |
O ![]() |
O TLS do IBM MQ suporta verificações de certificados revogados usando CRLs e ARLs somente em servidores LDAP. Sistemas IBM MQ no z/OS não podem usar o OCSP. |
O ![]() |
O TLS do IBM MQ suporta verificações de certificados revogados usando CRLs e ARLs somente em servidores LDAP. Sistemas IBM MQ no IBM i não podem usar o OCSP. |
- Usando a extensão do certificado AuthorityInfoAccess (AIA) no certificado a ser verificado.
- Usando uma URL especificada em um objeto de informação de autenticação ou especificada por um aplicativo cliente.
Uma URL especificada em um objeto de informações de autenticação ou por um aplicativo cliente que tem prioridade sobre uma URL em uma extensão de certificado de AIA.
A URL do respondente do OCSP pode ser barrado por um firewall, caso isso aconteça, reconfigure o firewall para que o respondente do OCSP possa ser acessado ou configure um servidor proxy do OCSP. Especifique o nome do servidor proxy usando a variável SSLHTTPProxyName na sub-rotina SSL. Nos sistemas do cliente, também é possível especificar o nome do servidor proxy usando a variável de ambiente MQSSLPROXY.
Se você não estiver preocupado se os certificados TLS foram revogados, talvez porque esteja executando em um ambiente de teste, será possível configurar OCSPCheckExtensions para NO na sub-rotina SSL. Se você configurar essa variável, qualquer extensão de certificado AIA será ignorada. É possível que essa solução não seja aceita em um ambiente de produção, no qual você pode querer não permitir o acesso de usuários que possuírem certificados revogados.
- Bom
- O certificado é válido.
- Revogado
- O certificado é revogado.
- Desconhecido
- Esse resultado pode surgir por um dos três motivos:
- O IBM MQ não pode acessar o respondente OCSP.
- O respondente OCSP enviou uma resposta, mas o IBM MQ não pode verificar a assinatura digital da resposta.
- O respondente do OCSP enviou uma resposta indicando que ele não possui nenhum dado de revogação para o certificado.
Por padrão, o IBM MQ rejeita uma conexão se receber uma resposta do OCSP de Desconhecido e emite uma mensagem de erro. É possível alterar esse comportamento configurando o atributo OCSPAuthentication. Isso fica retido na sub-rotina SSL do arquivo qm.ini para sistemas UNIX, o registro do WebSphere ou a sub-rotina SSL do arquivo de configuração do cliente. Pode ser configurado usando o IBM MQ Explorer em plataformas aplicáveis.
Resultado do OCSP Desconhecido
Se o IBM MQ receber um resultado do OCSP de Desconhecido, seu comportamento dependerá da configuração do atributo OCSPAuthentication. Para gerenciadores de filas, este atributo fica retido na sub-rotina SSL do arquivo qm.ini para sistemas UNIX, ou no registro do Windows e pode ser configurado usando o IBM MQ Explorer. Para os clientes, isso é mantido na sub-rotina SSL do arquivo de configuração do cliente.
Se um resultado Desconhecido for recebido e OCSPAuthentication estiver configurado como REQUIRED (o valor padrão), o IBM MQ rejeitará a conexão e emitirá uma mensagem de erro de tipo AMQ9716. Se as mensagens de evento do SSL do gerenciador de filas estiverem ativadas, uma mensagem de evento SSL do tipo MQRC_CHANNEL_SSL_ERROR com ReasonQualifier configurado para MQRQ_SSL_HANDSHAKE_ERROR é gerada.
Se um resultado Desconhecido for recebido e OCSPAuthentication estiver configurado como OPTIONAL, o IBM MQ permitirá que o canal SSL seja iniciado e não são gerados avisos nem mensagens de eventos SSL.
Se um resultado Desconhecido for recebido e OCSPAuthentication estiver configurado como WARN, o canal SSL será iniciado, mas o IBM MQ emitirá uma mensagem de aviso do tipo AMQ9717 no log de erro. Se as mensagens de evento do SSL do gerenciador de filas estiverem ativadas, uma mensagem de evento SSL do tipo MQRC_CHANNEL_SSL_WARNING com ReasonQualifier configurado para MQRQ_SSL_UNKNOWN_REVOCATION é gerada.
Assinatura Digital das Respostas do OCSP
Um respondente do OCSP pode assinar suas respostas de uma das três formas. Seu respondente informará qual método é usado.- A resposta do OCSP pode ser assinada digitalmente usando o mesmo certificado de CA que emitiu o certificado que estiver verificando. Nesse caso, não é necessário configurar nenhum certificado adicional; as etapas já concluídas para estabelecer a conectividade SSL são suficientes para verificar a resposta do OCSP.
- A resposta do OCSP pode ser assinada digitalmente usando outro certificado assinado pela mesma CA que emitiu o certificado que estiver verificando. O certificado de assinatura é enviado junto com a resposta do OCSP nesse caso. O certificado enviado a partir do respondente do OCSP deve ter uma Extensão de Uso de Chave Estendida configurada para id-kp-OCSPSigning para que ele possa ser confiável para esse propósito. Como a resposta do OCSP é enviada com o certificado que a assinou (certificado este que é assinado por uma CA que já é confiável para a conectividade do SSL), nenhuma configuração de certificado adicional é necessária.
- A resposta do OCSP pode ser assinada digitalmente usando outro certificado que não esteja relacionado diretamente ao certificado que estiver verificando. Nesse caso, a Resposta do OCSP é assinada por um certificado emitido pelo próprio respondente do OCSP. Deve-se incluir uma cópia do certificado do respondente do OCSP no banco de dados de chaves do cliente ou gerenciador de filas que executa a verificação de OCSP. Consulte Incluindo um certificado de autoridade de certificação (ou a parte de autoridade de certificação de um certificado autoassinado) em um repositório de chaves na IBM Knowledge Center. Quando um certificado de CA é incluído, por padrão, ele é incluído como uma raiz confiável, que é a configuração necessária nesse contexto. Se esse certificado não for incluído, o IBM MQ não pode verificar a assinatura digital na resposta do OCSP e a verificação OCSP resultará em um resultado Desconhecido, o que pode fazer com que o IBM MQ feche o canal, dependendo do valor deOCSPAuthentication.