Práce s protokolem OCSP (Online Certificate Status Protocol)

Produkt IBM® MQ zjišťuje, který odpovídací modul protokolu OCSP (Online Certificate Status Protocol) má použít, a zpracovává přijatou odezvu. V některých případech je nutné provést kroky, kterými zpřístupníte odpovídací modul OCSP.

Objekt Ověřovací informace obsahuje ověřovací údaje používané při kontrole, zda je certifikát TLS/TLS zrušen nebo ne.
Poznámka: Tyto informace se týkají pouze produktu IBM MQ v systémechUNIX a Windows. V následující tabulce jsou uvedeny informace o podpoře ověřovacích informací TLS v produktu IBM MQ na různých platformách:
Tabulka 1. Jak TLS produktu IBM MQ podporuje informace ověření na různých platformách
Platforma Podpora
[Windows]IBM MQ v systémech Windows Zabezpečení TLS produktu IBM MQ podporuje kontrolu zrušených certifikátů metodou OCSP nebo použití seznamů CRL a ARL na serverech LDAP, přičemž metoda OCSP je upřednostňována. Produkt třídy IBM MQ pro jazyk Java™ nemůže používat informace OCSP v souboru s tabulkou definic kanálů klienta. Nicméně OCSP můžete nakonfigurovat dle popisu uvedeného v tématu Zrušené certifikáty and OCSP v Centrum znalostí IBM.
[UNIX]IBM MQ v systémech UNIX Zabezpečení TLS produktu IBM MQ podporuje kontrolu zrušených certifikátů metodou OCSP nebo použití seznamů CRL a ARL na serverech LDAP, přičemž metoda OCSP je upřednostňována. Produkt třídy IBM MQ pro jazyk Java nemůže používat informace OCSP v souboru s tabulkou definic kanálů klienta. Nicméně OCSP můžete nakonfigurovat dle popisu uvedeného v tématu Zrušené certifikáty and OCSP v Centrum znalostí IBM.
[z/OS]IBM MQ v systémech z/OS Zabezpečení TLS produktu IBM MQ podporuje kontrolu zrušených certifikátů pouze pomocí seznamů CRL a ARL na serverech LDAP. Produkt IBM MQ v systémech z/OS není schopen používat metodu OCSP.
[z/OS]IBM MQ v systémech IBM i Zabezpečení TLS produktu IBM MQ podporuje kontrolu zrušených certifikátů pouze pomocí seznamů CRL a ARL na serverech LDAP. Produkt IBM MQ v systémech IBM i není schopen používat metodu OCSP.
Při kontrole stavu odvolání digitálního certifikátu pomocí protokolu OCSP produkt IBM MQ určuje, který odpovídací modul OCSP bude kontaktovat, a to jedním ze dvou způsobů:
  • pomocí rozšíření certifikátu AIA (AuthorityInfoAccess) v kontrolovaném certifikátu;
  • pomocí adresy URL uvedené v objektu ověřovacích informací nebo určené aplikací klienta.

Adresa URL uvedená v objektu ověřovacích informací nebo v aplikaci klienta má přednost před adresou URL v rozšíření certifikátu AIA.

Adresa URL odpovídacího modulu OCSP se může nacházet za bránou firewall – v takovém případě změňte konfiguraci brány firewall tak, aby bylo možné přistupovat k odpovídacímu modulu OCSP, nebo nastavte server proxy OCSP. Název serveru proxy zadejte pomocí proměnné SSLHTTPProxyName v sekci SSL. V klientských systémech můžete název serveru proxy zadat také pomocí proměnné prostředí MQSSLPROXY.

Pokud vám nezáleží na tom, zda jsou certifikáty TLS zrušené, například proto, že pracujete v testovacím prostředí, můžete nastavit proměnnou OCSPCheckExtensions v sekci SSL na hodnotu NO. Pokud nastavíte tuto proměnnou, bude ignorováno rozšíření certifikátu AIA. V provozním prostředí, kde zřejmě nebudete chtít umožnit přístup uživatelům předkládajícím zrušené certifikáty, toto řešení pravděpodobně nebude přijatelné.

Volání přístupu k odpovídacímu modulu OCSP může vrátit jeden z následujících tří výsledků:
Platný
Certifikát je platný.
Zrušený
Certifikát je zrušený.
Neznámý
Tento výsledek se může vyskytnout ze tří různých příčin:
  • Produkt IBM MQ nezískal přístup k odpovídacímu modulu OCSP.
  • Odpovídací modul OCSP odeslal odezvu, ale produktu IBM MQ se nepodařilo ověřit digitální podpis této odezvy.
  • Odpovídací modul OCSP odeslal odezvu s informací, že nemá k dispozici žádná data o odvolání daného certifikátu.

Obdrží-li produkt IBM MQ odezvu OCSP s výsledkem Neznámý, standardně připojení odmítne a vygeneruje chybovou zprávu. Toto chování lze změnit nastavením atributu OCSPAuthentication. Tento atribut se nachází v sekci SSL souboru qm.ini v systémech UNIX, v registru WebSphere nebo v sekci SSL konfiguračního souboru klienta. Na příslušných platformách jej lze nastavit pomocí produktu IBM MQ Explorer.

Výsledek protokolu OCSP Neznámý

Obdrží-li produkt IBM MQ výsledek protokolu OCSP Neznámý, jeho chování bude záviset na nastavení atributu OCSPAuthentication. U správců front se tento atribut nachází v sekci SSL souboru qm.ini pro systémy UNIX nebo v registru systému Windows a lze jej nastavit pomocí produktu IBM MQ Explorer. U klientů je umístěn v sekci SSL konfiguračního souboru klienta.

Je-li přijat výsledek Neznámý a atribut OCSPAuthentication je nastaven na hodnotu REQUIRED (výchozí hodnota), produkt IBM MQ připojení odmítne a vydá chybovou zprávu typu AMQ9716. Jsou-li povoleny zprávy o událostech správce front SSL, dojde k vygenerování zprávy o události SSL typu MQRC_CHANNEL_SSL_ERROR s atributem ReasonQualifier nastaveným na hodnotu MQRQ_SSL_HANDSHAKE_ERROR.

Je-li přijat výsledek Neznámý a atribut OCSPAuthentication je nastaven na hodnotu OPTIONAL, produkt IBM MQ umožní spuštění kanálu SSL a nebudou vygenerována žádná varování ani zprávy o událostech SSL.

Je-li přijat výsledek Neznámý a atribut OCSPAuthentication je nastaven na hodnotu WARN, kanál SSL se spustí, ale produkt IBM MQ zapíše do protokolu chyb varovnou zprávu typu AMQ9717. Jsou-li povoleny zprávy o událostech správce front SSL, dojde k vygenerování zprávy o události SSL typu MQRC_CHANNEL_SSL_WARNING s atributem ReasonQualifier nastaveným na hodnotu MQRQ_SSL_UNKNOWN_REVOCATION.

Digitální podepisování odezev OCSP

Odpovídací modul OCSP může své odezvy podepisovat třemi různými způsoby. Váš odpovídací modul vás informuje o tom, která metoda je použita.
  • Odezva OCSP může být digitálně podepsána s použitím téhož certifikátu CA, který byl použit k vystavení kontrolovaného certifikátu. V takovém případě nepotřebujete nastavovat žádný další certifikát. Kroky, které jste již provedli při vytváření spojení SSL, postačují k ověření odezvy OCSP.
  • Odezva OCSP může být digitálně podepsána s použitím jiného certifikátu podepsaného stejnou CA, která vydala kontrolovaný certifikát. Podpisový certifikát je v tomto případě přenášen v jednom toku s odezvou OCSP. Certifikát přenášený tokem z odpovídacího modulu OCSP musí mít nastavené rozšíření použití rozšířeného klíče na hodnotu id-kp-OCSPSigning, aby mu bylo možné pro tento účel důvěřovat. Jelikož je odezva OCSP přenášena společně s certifikátem použitým k jejímu podepsání (a tento certifikát je podepsán CA, která je již pro účel propojení SSL považována za důvěryhodnou), není třeba provádět žádné další nastavování certifikátů.
  • Odezva OCSP může být digitálně podepsána s použitím jiného certifikátu, který přímo nesouvisí s kontrolovaným certifikátem. V takovém případě je odezva OCSP podepsána certifikátem vydaným samotným odpovídacím modulem OCSP. Kopii certifikátu odpovídacího modulu OCSP je nutné přidat do databáze klíčů klienta nebo správce front, který provádí kontrolu OCSP. Viz Přidání certifikátu CA (nebo části certifikátu podepsaného držitelem příslušející CA) do úložiště klíčů v Centrum znalostí IBM. Přidávaný certifikát CA je standardně přidán jako důvěryhodný kořenový certifikát, což je v tomto kontextu povinné nastavení. Není-li tento certifikát přidán, produkt IBM MQ nemůže ověřit digitální podpis v odezvě OCSP a kontrola OCSP vrátí výsledek Neznámý, následkem čehož může produkt IBM MQ zavřít kanál, vyžaduje-li to nastavení atributu OCSPAuthentication.