OCSP(Online Certificate Status Protocol)를 사용하여 작업

IBM® MQ는 사용할 OCSP(Online Certificate Status Protocol) 응답자를 판별하고, 수신한 응답을 핸들링합니다. OCSP 응답자가 액세스할 수 있도록 하려면 이 단계를 수행해야 합니다.

인증 정보 오브젝트에는 TLS 인증서가 폐기되었는지 여부를 검사할 때 사용되는 인증 정보가 포함됩니다.
참고: 이 정보는 UNIXWindows 시스템의 IBM MQ에만 적용됩니다. 다음 표에는 여러 플랫폼에 대한 IBM MQ TLS 인증 정보 지원이 표시됩니다.
표 1. IBM MQ TLS가 다른 플랫폼에서 인증 정보를 지원하는 방법
플랫폼 지원
[Windows]Windows 시스템의 IBM MQ IBM MQ TLS 지원이 OCSP를 사용하거나, LDAP 서버의 CRL 및 ARL을 사용하거나, 선호하는 메소드로 OCSP를 사용하여 폐기된 인증서를 검사합니다. Java™용 IBM MQ 클래스에서는 클라이언트 채널 정의 테이블 파일에서 OCSP 정보를 사용할 수 없습니다. 단, IBM Knowledge Center폐기된 인증서 및 OCSP에 설명된 대로 OCSP를 구성할 수 있습니다.
[UNIX]UNIX 시스템의 IBM MQ IBM MQ TLS 지원이 OCSP를 사용하거나, LDAP 서버의 CRL 및 ARL을 사용하거나, 선호하는 메소드로 OCSP를 사용하여 폐기된 인증서를 검사합니다. Java용 IBM MQ 클래스에서는 클라이언트 채널 정의 테이블 파일에서 OCSP 정보를 사용할 수 없습니다. 단, IBM Knowledge Center폐기된 인증서 및 OCSP에 설명된 대로 OCSP를 구성할 수 있습니다.
[z/OS]z/OS® 시스템의 IBM MQ IBM MQ TLS 지원이 LDAP 서버의 CRL 및 ARL만 사용하여 폐기된 인증서를 검사합니다. z/OS 시스템의 IBM MQ는 OCSP를 사용할 수 없습니다.
[z/OS]IBM i 시스템의 IBM MQ IBM MQ TLS 지원이 LDAP 서버의 CRL 및 ARL만 사용하여 폐기된 인증서를 검사합니다. IBM i 시스템의 IBM MQ는 OCSP를 사용할 수 없습니다.
OCSP를 사용하여 디지털 인증서의 폐기 상태를 점검하기 위해 IBM MQ는 다음 두 가지 방법 중 하나로 접속할 OCSP 응답자를 판별합니다.
  • 점검할 인증서의 AIA(AuthorityInfoAccess) 인증서 확장자 사용
  • 클라이언트 애플리케이션에 의해 지정되거나 인증 정보 오브젝트에 지정된 URL 사용

인증 정보 오브젝트 또는 클라이언트 애플리케이션에서 지정한 URL은 AIA 인증서 확장자에 있는 URL보다 우선합니다.

OCSP 응답자의 URL은 방화벽보다 우선순위가 낮습니다. 이런 경우 OCSP 응답자가 OCSP 프록시 서버에 액세스 또는 설정할 수 있도록 방화벽을 다시 구성하십시오. SSL 스탠자에 있는 SSLHTTPProxyName 변수를 사용하여 프록시 서버의 이름을 지정하십시오. 클라이언트 시스템에서는 환경 변수 MQSSLPROXY를 사용하여 프록시 서버의 이름을 지정할 수도 있습니다.

테스트 환경에서 실행 중이므로 TLS 인증서가 폐기되었는지 여부가 중요하지 않으면 SSL 스탠자에서 OCSPCheckExtensions를 아니오로 설정할 수 있습니다. 이 변수를 설정하면 모든 AIA 인증서 확장자가 무시됩니다. 이 솔루션은 프로덕션 환경에서는 사용할 수 없습니다. 여기에서는 폐기된 인증서를 제시하는 사용자에게 액세스를 허용하지 않습니다.

OCSP 응답자에게 액세스하는 호출에서는 다음 세 가지 결과 중 하나를 리턴할 수 있습니다.
양호
인증서가 올바릅니다.
폐기됨
인증서가 폐기되었습니다.
알 수 없음
이 결과는 세 가지 중 하나의 이유로 발생할 수 있습니다.
  • IBM MQ가 OCSP 응답자에 액세스할 수 없습니다.
  • OCSP 응답자가 응답을 송신했으나 IBM MQ가 응답의 디지털 서명을 확인할 수 없습니다.
  • OCSP 응답자가 인증서에 대한 폐기 데이터를 가지고 있지 않음을 표시하는 응답을 송신했습니다.

기본적으로 IBM MQ알 수 없음의 OCSP 응답을 수신하는 경우 연결을 거부하고 오류 메시지를 발행합니다. OCSPAuthentication 속성을 설정하여 이 작동을 변경할 수 있습니다. 이 속성은 UNIX 시스템의 경우 qm.ini 파일의 SSL 스탠자, WebSphere® 레지스트리 또는 클라이언트 구성 파일의 SSL 스탠자에 보유됩니다. 이 속성은 적용 가능한 플랫폼에서 IBM MQ 탐색기를 사용하여 설정할 수 있습니다.

OCSP 결과 알 수 없음

IBM MQ에서 알 수 없음의 OCSP 결과를 수신하는 경우 이에 따른 작동은 OCSPAuthentication 속성의 설정에 따라 다릅니다. 큐 관리자의 경우, 이 속성은 UNIX 시스템의 경우 qm.ini 파일의 SSL 스탠자 또는 Windows 레지스트리에 보유되며 IBM MQ 탐색기를 사용하여 설정될 수 있습니다. 클라이언트의 경우, 이 속성은 클라이언트 구성 파일의 SSL 스탠자에 보유됩니다.

알 수 없음 결과를 수신하고 OCSPAuthentication이 REQUIRED(기본값)로 설정되면, IBM MQ는 연결을 거부하고 AMQ9716 유형의 오류 메시지를 발행합니다. 큐 관리자 SSL 이벤트 메시지가 사용 가능한 경우, ReasonQualifier가 MQRQ_SSL_HANDSHAKE_ERROR로 설정된 MQRC_CHANNEL_SSL_ERROR 유형의 SSL 이벤트 메시지가 생성됩니다.

알 수 없음 결과를 수신하고 OCSPAuthentication이 OPTIONAL로 설정되면, IBM MQ에서는 SSL 채널이 시작되고 경고 또는 SSL 이벤트 메시지는 생성되지 않습니다.

알 수 없음 결과를 수신하고 OCSPAuthentication이 WARN으로 설정된 경우, SSL 채널은 시작되지만 IBM MQ는 오류 로그에 AMQ9717 유형의 경고 메시지를 발행합니다. 큐 관리자 SSL 이벤트 메시지가 사용 가능한 경우, ReasonQualifier가 MQRQ_SSL_UNKNOWN_REVOCATION으로 설정된 MQRC_CHANNEL_SSL_WARNING 유형의 SSL 이벤트 메시지가 생성됩니다.

OCSP 응답의 디지털 사인

OCSP 응답자는 세 가지 방식으로 응답에 사인할 수 있습니다. 응답자는 사용되는 방법에 대해 사용자에게 알려줍니다.
  • 검사 중인 인증서를 발행한 동일한 CA 인증서를 사용하여 OCSP 응답에 디지털로 사인할 수 있습니다. 이 경우 추가 인증서를 설정할 필요가 없습니다. SSL 연결을 설정하기 위해 이미 수행한 단계가 OCSP 응답을 확인하기에 충분합니다.
  • 검사 중인 인증서를 발행한 동일한 (CA)에서 사인한 다른 인증서를 사용하여 OCSP 응답에 디지털로 사인할 수 있습니다. 이 경우 인증서 사인은 OCSP 응답과 함께 플로우됩니다. OCSP 응답자에게서 플로우된 인증서에는 이 용도로 신뢰할 수 있도록 id-kp-OCSPSigning으로 설정된 확장 키 사용법 확장(Extended Key Usage Extension)이 있어야 합니다. OCSP 응답은 사인된 인증서와 함께 플로우되고(해당 인증서는 SSL 연결성에 대해 이미 신뢰받은 CA가 서명하였으므로) 추가로 인증서를 설정하지 않아도 됩니다.
  • 검사 중인 인증서와 직접 관련이 없는 다른 인증서를 사용하여 OCSP 응답에 디지털로 사인할 수 있습니다. 이 경우 OCSP 응답은 OCSP 응답자가 자체 발행한 인증서에서 사인합니다. OCSP 검사를 수행하는 클라이언트 또는 큐 관리자의 키 데이터베이스에 OCSP 응답자 인증서 사본을 추가해야 합니다. IBM Knowledge Center에서 키 저장소에 CA 인증서(또는 자체 서명된 인증서의 CA 부분) 추가의 내용을 참조하십시오. CA 인증서는 추가될 때 기본적으로 이 컨텍스트에서 필수 설정인 신뢰 루트로서 추가됩니다. 이 인증서를 추가할 수 없으면, IBM MQ는 OCSP 응답에서 디지털 서명을 확인할 수 없고 OCSPAuthentication 값에 따라 OCSP 검사에서는 알 수 없음 결과를 발생시켜 IBM MQ에서 채널을 종료시킬 수 있습니다.