Utilisation du protocole OCSP (Online Certificate Status Protocol)

IBM® MQ détermine le répondeur OCSP (Online Certificate Status Protocol) à utiliser et traite la réponse reçue. Vous pouvez être amené à réaliser certaines étapes pour pouvoir accéder au répondeur OCSP.

Un objet d'information d'authentification contient des informations d'authentification utilisées lorsque vous vérifiez si un certificat TLS est révoqué.
Remarque : Ces informations s'appliquent uniquement à IBM MQ sur UNIX et Windows. Le tableau suivant montre le support d'information d'authentification TLS IBM MQ pour différentes plateformes :
Tableau 1. Comment IBM MQ TLS prend en charge les informations d'authentification sur des plateformes différentes
Plateforme Support
[Windows]IBM MQ sur les systèmes Windows TLS dans IBM MQ prend en charge la recherche des certificats révoqués en utilisant le protocole OCSP ou des listes CRL et ARL sur les serveurs LDAP avec OCSP comme méthode préférentielle. IBM MQ classes for Java™ ne peut pas utiliser les informations OCSP dans un fichier de table de définition de canal du client. Toutefois, vous pouvez configurer le protocole OCSP comme décrit dans la rubrique Certificats révoqués et OCSP dans l'IBM Knowledge Center.
[UNIX]IBM MQ sur les systèmes UNIX TLS dans IBM MQ prend en charge la recherche des certificats révoqués en utilisant le protocole OCSP ou des listes CRL et ARL sur les serveurs LDAP avec OCSP comme méthode préférentielle. IBM MQ classes for Java ne peut pas utiliser les informations OCSP dans un fichier de table de définition de canal du client. Toutefois, vous pouvez configurer le protocole OCSP comme décrit dans la rubrique Certificats révoqués et OCSP dans l'IBM Knowledge Center.
[z/OS]IBM MQ sur les systèmes z/OS TLS dans IBM MQ prend en charge les vérifications des certificats révoqués à l'aide de listes CRL et ARL sur les serveurs LDAP uniquement. IBM MQ sur les systèmes z/OS ne peut pas utiliser le protocole OCSP.
[z/OS]IBM MQ sur les systèmes IBM i TLS dans IBM MQ prend en charge les vérifications des certificats révoqués à l'aide de listes CRL et ARL sur les serveurs LDAP uniquement. IBM MQ sur les systèmes IBM i ne peut pas utiliser le protocole OCSP.
Pour identifier le statut de retrait d'un certificat numérique en utilisant OCSP, IBM MQ détermine le répondeur OCSP à contacter de l'une des manières suivantes :
  • Par le biais de l'extension de certificat AuthorityInfoAccess (AIA) dans le certificat à contrôler.
  • Par le biais de l'adresse URL spécifiée dans un objet d'information d'authentification ou spécifiée par une application client.

Une URL spécifiée dans un objet d'information d'authentification ou par une application client est prioritaire par rapport à une URL d'une extension de certificat AIA.

L'URL du répondeur OCSP peut figurer derrière un pare-feu ; si c'est le cas, reconfigurez le pare-feu de sorte que le répondeur OCSP soit accessible ou configurez un serveur proxy OCSP. Indiquez le nom du serveur proxy en utilisant la variable SSLHTTPProxyName dans la strophe SSL. Sur les systèmes client, vous pouvez également indiquer le nom du serveur proxy à l'aide de la variable d'environnement MQSSLPROXY.

Si vous n'êtes pas concerné par la révocation des certificats TLS, peut-être parce que vous exécutez un environnement de test, vous pouvez définir OCSPCheckExtensions sur NO dans la strophe SSL. Si vous configurez cette variable, toute extension de certificat AIA est ignorée. Cette solution sera probablement refusée dans un environnement de production, dans lequel vous ne souhaitez sûrement pas autoriser les utilisateurs à accéder aux certificats révoqués.

L'appel d'accès au répondeur OCSP peut entraîner les trois résultats suivants :
Bon
Le certificat est valide.
Révoqué
Le certificat est révoqué.
Inconnu
Ce résultat peut survenir à cause de l'une des trois raisons suivantes :
  • IBM MQ ne peut pas accéder au répondeur OCSP.
  • Le répondeur OCSP a envoyé une réponse, mais IBM MQ ne peut pas vérifier la signature numérique de la réponse.
  • Le répondeur OCSP a envoyé une réponse qui indique qu'il n'existe pas de données de révocation pour le certificat.

Par défaut, IBM MQ rejette une connexion s'il reçoit une réponse OCSP inconnue et il émet un message d'erreur. Vous pouvez modifier ce comportement en définissant l'attribut OCSPAuthentication. Il se trouve dans la strophe SSL du fichier qm.ini sur les systèmes UNIX, le registre WebSphere ou la strophe SSL du fichier de configuration du client. Vous pouvez le définir en utilisant IBM MQ Explorer sur les plateformes concernées.

Résultat OCSP Inconnu

Si IBM MQ reçoit un résultat OCSP Inconnu, son comportement dépend de la valeur de l'attribut OCSPAuthentication. Pour les gestionnaires de files d'attente, cet attribut se trouve dans la strophe SSL du fichier qm.ini sur les systèmes UNIX ou le registre Windows, et vous pouvez le définir en utilisant IBM MQ Explorer. Pour les clients, il s'agit de la strophe SSL du fichier de configuration du client.

Si Inconnu est reçu et que l'attribut OCSPAuthentication a la valeur REQUIRED (valeur par défaut), IBM MQ rejette la connexion et envoie un message d'erreur de type AMQ9716. Si les messages d'événements SSL de gestionnaire de files d'attente sont activés, un message d'événement SSL de type MQRC_CHANNEL_SSL_ERROR, avec ReasonQualifier défini sur MQRQ_SSL_HANDSHAKE_ERROR, est généré.

Si Inconnu est reçu et que l'attribut OCSPAuthentication a la valeur OPTIONAL, IBM MQ permet au canal SSL de démarrer, et aucun avertissement ou message d'événement SSL n'est généré.

Si Inconnu est reçu et que l'attribut OCSPAuthentication a la valeur WARN, le canal SSL démarre, mais IBM MQ génère un message d'avertissement de type AMQ9717 dans le journal des erreurs. Si les messages d'événements SSL de gestionnaire de files d'attente sont activés, un message d'événement SSL de type MQRC_CHANNEL_SSL_WARNING, avec ReasonQualifier défini sur MQRQ_SSL_UNKNOWN_REVOCATION, est généré.

Signature numérique de réponses OCSP

Un répondeur OCSP peut signer ses réponses de trois manières. Votre répondeur vous informe de la méthode à utiliser.
  • La réponse OCSP peut être signée numériquement à l'aide du même certificat CA qui a émis le certificat en cours de vérification. Dans ce cas, vous n'avez pas besoin de configurer d'autres certificats ; les étapes que vous avez déjà prises pour établir la connectivité SSL suffisent pour vérifier la réponse OCSP.
  • La réponse OCSP peut être signée numériquement à l'aide d'un autre certificat signé par le même CA qui a émis le certificat en cours de vérification. Le certificat signataire est transmis avec la réponse OCSP dans ce cas. Le certificat transmis à partir du répondeur OCSP doit avoir une extension d'utilisation clé étendue définie sur id-kp-OCSPSigning pour pouvoir être digne de confiance. Etant donné que la réponse OCSP est transmise avec le certificat signataire (et que ce certificat est signé par un CA déjà digne de confiance pour la connectivité SSL), aucune configuration supplémentaire n'est requise.
  • La réponse OCSP peut être signée numériquement à l'aide d'un autre certificat qui n'est pas lié au certificat en cours de vérification. Dans ce cas, la réponse OCSP est signée par un certificat émis par le répondeur OCSP. Vous devez ajouter une copie du certificat de répondeur OCSP à la base de données de clés du client ou du gestionnaire de files d'attente effectuant la vérification OCSP. Voir Ajout d'un certificat de l'autorité de certification (ou de la partie de l'autorité de certification d'un certificat autosigné) dans un référentiel de clés dans l'IBM Knowledge Center. Lors de l'ajout d'un certificat CA, il est ajouté par défaut en racine de confiance, ce qui représente le paramètre requis dans ce contexte. Si ce certificat n'est pas ajouté, IBM MQ ne peut pas vérifier la signature numérique dans la réponse OCSP et OCSP vérifie le résultat dans un résultat Inconnu, ce qui peut amener IBM MQ à fermer le canal en fonction de la valeur d'OCSPAuthentication.