Online Certificate Status Protocol (OCSP) の使用
IBM® MQ は、どの Online Certificate Status Protocol (OCSP) 応答側を使用するのかを決定し、受信した応答を処理します。OCSP 応答側をアクセス可能にするための手順を実行しなければならない場合があります。
プラットフォーム | サポート |
---|---|
![]() |
IBM MQ TLS サポートにより OCSP、または LDAP サーバーの CRL と ARL を使用して、取り消された証明書がないか検査されます。優先される方式は OCSP です。IBM MQ classes for Java™ では、クライアント・チャネル定義テーブル・ファイルの OCSP 情報を使用できません。 ただし、IBM Knowledge Center の『失効した証明書および OCSP』に記載されている方法で OCSP を構成することができます。 |
![]() |
IBM MQ TLS サポートにより OCSP、または LDAP サーバーの CRL と ARL を使用して、取り消された証明書がないか検査されます。優先される方式は OCSP です。IBM MQ classes for Java では、クライアント・チャネル定義テーブル・ファイルの OCSP 情報を使用できません。 ただし、IBM Knowledge Center の『失効した証明書および OCSP』に記載されている方法で OCSP を構成することができます。 |
![]() |
IBM MQ TLS サポートにより、LDAP サーバーの CRL と ARL のみを使用して、取り消された証明書がないか検査されます。z/OS システム上の IBM MQ では OCSP を使用できません。 |
![]() |
IBM MQ TLS サポートにより、LDAP サーバーの CRL と ARL のみを使用して、取り消された証明書がないか検査されます。IBM i システム上の IBM MQ では OCSP を使用できません。 |
- 検査される証明書で AuthorityInfoAccess (AIA) 証明書拡張を使用する。
- 認証情報オブジェクトに指定された URL、またはクライアント・アプリケーションによって指定された URL を使用する。
認証情報オブジェクトに指定された URL、またはクライアント・アプリケーションによって指定された URL は、AIA 証明書拡張内の URL に優先します。
OCSP 応答側の URL は、ファイアウォールの向こう側にある場合があります。その場合、ファイアウォールを再構成して、OCSP 応答側にアクセスできるようにするか、OCSP プロキシー・サーバーをセットアップします。SSL スタンザで SSLHTTPProxyName 変数を使用して、プロキシー・サーバーの名前を指定します。クライアント・システム上では、環境変数 MQSSLPROXY を使用することによっても、プロキシー・サーバー名を指定できます。
テスト環境で実行しているなどの理由で、TLS 証明書が失効してもかまわない場合には、SSL スタンザの OCSPCheckExtensions を NO に設定できます。この変数を設定すると、AIA 証明書拡張が無視されます。この解決方法は、実稼働環境では、ほとんどの場合に不適切です。実稼働環境では、失効した証明書を提示するユーザーからのアクセスは許可できないからです。
- 有効
- 証明書は有効です。
- 取り消し
- 証明書は取り消されています。
- 不明
- この結果になるのは、次の 3 つのうちのいずれかが原因です。
- IBM MQ が OCSP 応答側にアクセスできない。
- OCSP 応答側が応答を送信したが、IBM MQ が応答のデジタル署名を検証できない。
- OCSP 応答側が、その証明書に関する取り消しデータを保持していないことを示す応答を送信した。
デフォルトでは、IBM MQ は、「不明」の OCSP 応答を受信した場合は接続を拒否して、エラー・メッセージを発行します。この動作は、OCSPAuthentication 属性を設定することにより変更できます。これは、UNIX システム用 qm.ini ファイルの SSL スタンザ、WebSphere® レジストリー、またはクライアント構成ファイルの SSL スタンザで保持されます。アプリケーション・プラットフォーム上の IBM MQ エクスプローラーを使用して設定可能です。
OCSP 結果「不明」
「不明」という OCSP 結果を受信した場合の IBM MQ の動作は、OCSPAuthentication 属性の設定値によって決まります。キュー・マネージャーの場合、この属性は UNIX システムの qm.ini ファイルの SSL スタンザ、または Windows レジストリーに保持され、IBM MQ エクスプローラー を使用して設定することができます。クライアントでは、これはクライアント構成ファイルの SSL スタンザに保持されます。
OCSPAuthentication が REQUIRED (デフォルト値) に設定されている場合に「不明」という結果を受信すると、IBM MQ は接続を拒否し、タイプ AMQ9716 のエラー・メッセージを発行します。キュー・マネージャーの SSL イベント・メッセージが有効な場合、ReasonQualifier が MQRQ_SSL_HANDSHAKE_ERROR に設定された、タイプ MQRC_CHANNEL_SSL_ERROR の SSL イベント・メッセージが生成されます。
OCSPAuthentication が OPTIONAL に設定されている場合に「不明」という結果を受信すると、IBM MQ はその SSL チャネルの開始を許可し、警告や SSL イベント・メッセージは生成されません。
OCSPAuthentication が WARN に設定されている場合に「不明」という結果を受信すると、SSL チャネルは開始されますが、IBM MQ はタイプ AMQ9717 の警告メッセージをエラー・ログに出力します。キュー・マネージャーの SSL イベント・メッセージが有効になっている場合、タイプが MQRC_CHANNEL_SSL_WARNING で ReasonQualifier が MQRQ_SSL_UNKNOWN_REVOCATION に設定された SSL イベント・メッセージが生成されます。
OCSP 応答のデジタル署名
OCSP 応答側は、3 つ方法のいずれかでその応答に署名することができます。応答側からは、使用する方法が通知されます。- OCSP 応答に、検査中の証明書を発行した同一の CA 証明書を使用してデジタル署名を付加できます。この場合、追加の証明書をセットアップする必要はありません。SSL 接続を確立するために既に実行したステップで OCSP 応答を検証できます。
- OCSP 応答に、検査中の証明書を発行した同一の CA で署名された別の証明書を使用してデジタル署名を付加できます。この場合、OCSP 応答と一緒に署名証明書が送信されます。そのため、OCSP 応答側から送信される証明書では、信頼されるように、ExtendedKeyUsage 拡張が id-kp-OCSPSigning に設定されていなければなりません。OCSP 応答は、署名された証明書と一緒に送信される (さらに、SSL 接続のために既に信頼されている CA によって証明書が署名されている) ため、追加の証明書のセットアップは必要ありません。
- OCSP 応答に、検査中の証明書に直接関係のない別の証明書を使用して、デジタル署名を付加できます。この場合、OCSP 応答は OCSP 応答側自体によって発行された証明書によって署名されます。OCSP 検査を実行するクライアントまたはキュー・マネージャーの鍵データベースに、OCSP 応答側証明書のコピーを追加する必要があります。IBM Knowledge Center 内の鍵リポジトリーへの CA 証明書 (自己署名証明書の CA 部分) の追加を参照してください。 CA 証明書が追加される場合、デフォルトで、このコンテキストで必要な設定であるトラステッド・ルートとして追加されます。この証明書が追加されない場合、IBM MQ は OCSP 応答のデジタル署名を検証できず、OCSP 検査の結果が「不明」になります。この際、OCSPAuthentication の値に応じて IBM MQ がチャネルを閉じる可能性があります。