Online tanúsítványállapot-protokoll (OCSP) kezelése
A IBM® MQ megállapítja, hogy melyik Online tanúsítványállapot-protokollt (OCSP) kell használni, és kezeli a fogadott válaszokat. Lehetséges, hogy el kell végeznie néhány lépést az OCSP válaszadó elérhetővé tételéhez.
Platform | Támogatás |
---|---|
Windows
rendszereken futtatott ![]() |
A IBM MQ TLS támogatja a visszavont tanúsítványok ellenőrzését OCSP használatával, vagy LDAP kiszolgálókon CRL és ARL listák használatával úgy, hogy az előnyben részesített módszer az OCSP. A IBM MQ Java™ osztályok nem használhatják az OCSP információkat ügyfélcsatorna-meghatározási tábla fájlban. Az OCSP azonban konfigurálható az IBM Knowledge Center Visszavont tanúsítványok és OCSP témakörében leírtak szerint. |
UNIX
rendszereken futtatott ![]() |
A IBM MQ TLS támogatja a visszavont tanúsítványok ellenőrzését OCSP használatával, vagy LDAP kiszolgálókon CRL és ARL listák használatával úgy, hogy az előnyben részesített módszer az OCSP. A IBM MQ Java osztályok nem használhatják az OCSP információkat ügyfélcsatorna-meghatározási tábla fájlban. Az OCSP azonban konfigurálható az IBM Knowledge Center Visszavont tanúsítványok és OCSP témakörében leírtak szerint. |
z/OS
rendszereken futtatott ![]() |
A IBM MQ TLS a visszavont tanúsítványok CRL és ARL listák használatával történő ellenőrzését csak LDAP kiszolgálókon támogatja. A z/OS rendszereken futó IBM MQ nem használhatja az OCSP protokollt. |
![]() |
A IBM MQ TLS a visszavont tanúsítványok CRL és ARL listák használatával történő ellenőrzését csak LDAP kiszolgálókon támogatja. A IBM i rendszereken futó IBM MQ nem használhatja az OCSP protokollt. |
- Az AuthorityInfoAccess (AIA) tanúsítvány kiterjesztés használatával az ellenőrizni kívánt tanúsítványban.
- A hitelesítési információs objektumban vagy egy ügyfélalkalmazás által megadott URL cím használatával.
Egy hitelesítési információs objektumban vagy egy ügyfélalkalmazás által megadott URL cím prioritást élvez az AIA tanúsítvány kiterjesztésben szereplő URL címmel szemben.
Lehetséges, hogy az OCSP válaszadó URL címe egy tűzfal mögött található; ha így van, konfigurálja újra a tűzfalat, hogy az OCSP válaszadó egy OCSP proxykiszolgálón keresztül legyen elérhető és beállítható. A proxykiszolgáló nevét az SSL szakaszban lévő SSLHTTPProxyName változóval adhatja meg. Ügyfél rendszereken a proxykiszolgáló nevét megadhatja az MQSSLPROXY környezeti változó használatával is.
Ha nem fontos, hogy a TLS tanúsítványok vissza lettek vonva (például azért, mert egy tesztkörnyezetben dolgozik), akkor az SSL szakaszban beállíthatja az OCSPCheckExtensions változót NO értékre. Ha beállítja ezt a változót, akkor az AIA tanúsítvány kiterjesztések figyelmen kívül maradnak. Ez a megoldás éles környezetben nem valószínű, hogy elfogadható lenne, mivel éles környezetben valószínűleg nem kívánja engedélyezni a hozzáférést visszavont tanúsítvánnyal rendelkező felhasználók számára.
- Jó
- A tanúsítvány érvényes.
- Visszavont
- A tanúsítvány vissza van vonva.
- Ismeretlen
- Ezt a kimenetet a következő három ok eredményezheti:
- A IBM MQ nem tudja elérni az OCSP válaszadót.
- Az OCSP válaszadó elküldött egy választ, de a IBM MQ nem tudja ellenőrizni a válasz digitális aláírását.
- Az OCSP válaszadó olyan választ küldött, amely azt jelzi, hogy a tanúsítványról nincsenek visszavonási adatai.
A IBM MQ alapértelmezésben visszautasítja a kapcsolatot és hibaüzenetet ad, ha Ismeretlen OCSP választ kap. Ezt a viselkedést az OCSPAuthentication attribútum beállításával módosíthatja. Az attribútum UNIX rendszereken a qm.ini fájl SSL szakaszában, a WebSphere nyilvántartásban, vagy az ügyfél konfigurációs fájl SSL szakaszában található. A megfelelő platformokon beállítható az IBM MQ Explorer használatával.
Ismeretlen OCSP kimenet
Ha a IBM MQ az Ismeretlen OCSP kimenetet kapja, akkor viselkedése az OCSPAuthentication attribútum beállításától függ. Sorkezelők esetében ez az attribútum UNIX rendszereken a qm.ini fájl SSL szakaszában, Windows platformon a rendszerleíró adatbázisban található, és az IBM MQ Explorer alkalmazással állítható be. Ügyfelek esetén az ügyfél konfigurációs fájl SSL szakasza tartalmazza.
Ha az OCSP az Ismeretlen kimenetet adja vissza és az OCSPAuthentication attribútum REQUIRED (kötelező) értékre van beállítva (ez az alapértelmezett érték), akkor a IBM MQ visszautasítja a kapcsolatot, és AMQ9716 típusú hibaüzenetet ad. Ha a sorkezelő SSL eseményüzenetek engedélyezve vannak, akkor egy MQRC_CHANNEL_SSL_ERROR típusú SSL eseményüzenet kerül előállításra, melyben a ReasonQualifier tulajdonág MQRQ_SSL_HANDSHAKE_ERROR értékre lesz beállítva.
Ha a kimenet Ismeretlen, és az OCSPAuthentication tulajdonság OPTIONAL értékre van beállítva, akkor a IBM MQ engedélyezi az SSL csatorna elindítását és nem állít elő figyelmeztetéseket vagy SSL eseményüzeneteket.
Ha a kimenet Ismeretlen, és az OCSPAuthentication tulajdonság WARN értékre van beállítva, akkor az SSL csatorna elindul, de a IBM MQ egy AMQ9717 típusú figyelmeztetési üzenetet ír a hibanaplóba. Ha a sorkezelő SSL esemény üzenetek engedélyezve vannak, akkor egy MQRC_CHANNEL_SSL_WARNING típusú SSL esemény üzenet kerül előállításra, melyben a ReasonQualifier tulajdonság MQRQ_SSL_UNKNOWN_REVOCATION értékre lesz beállítva.
OCSP válaszok digitális aláírása
Egy OCSP válaszadó a következő három módszer egyikével írhatja alá a válaszait. A válaszadó tájékoztatja arról, hogy melyik módszert használja.- Az OCSP válasz digitálisan aláírható ugyanazzal a CA tanúsítvánnyal, amely az ellenőrzött tanúsítványt kibocsátotta. Ebben az esetben nem kell beállítania további tanúsítványt; az SSL kapcsolat létrehozásához már elvégzett lépések elegendőek az OCSP válasz ellenőrzéséhez.
- Az OCSP válasz digitálisan aláírható az ellenőrzött tanúsítványt kibocsátó tanúsítványhatóság által aláírt másik tanúsítvánnyal. Ebben az esetben az aláíró tanúsítvány az OCSP válasszal együtt kerül továbbításra. Az OCSP válaszadótól származó tanúsítvány esetében a Bővített kulcshasználat kiterjesztés tulajdonságát id-kp-OCSPSigning értékre kell beállítani, hogy megbízható legyen erre a célra. Mivel az OCSP válasz azzal a tanúsítvánnyal együtt kerül elküldésre, amely aláírta (és ezt a tanúsítványt egy olyan CA írta alá, amely már megbízható SSL kapcsolatokhoz), további tanúsítványbeállításra nincs szükség.
- Az OCSP válasz digitálisan aláírható egy másik tanúsítvány használatával, amely nem kapcsolódik közvetlenül az ellenőrzött tanúsítványhoz. Ebben az esetben az OCSP válasz egy olyan tanúsítvánnyal lesz aláírva, amelyet maga az OCSP válaszadó ad ki. Fel kell vennie az OCSP válaszadó tanúsítvány másolatát annak az ügyfélnek vagy sorkezelőnek a kulcs adatbázisába, amely az OCSP ellenőrzést végrehajtja. Tekintse meg az IBM Knowledge Center CA tanúsítvány (vagy a saját aláírású tanúsítvány CA részének) hozzáadása egy kulcslerakathoz témakörét. Egy CA tanúsítvány hozzáadásakor alapértelmezés szerint a tanúsítvány megbízható gyökérként kerül hozzáadásra, ami a kontextus kötelező beállítása. Ha a tanúsítvány nem kerül hozzáadásra, akkor a IBM MQ nem tudja ellenőrizni az OCSP válasz digitális aláírását, és az OCSP ellenőrzés Ismeretlen kimenetet eredményez, ami azt okozhatja, hogy a IBM MQ lezárja a csatornát (az OCSPAuthentication tulajdonság értékétől függően).