Mit OCSP (Online Certificate Status Protocol) arbeiten
IBM® MQ bestimmt, welcher OCSP-Responder verwendet werden soll, und verarbeitet die empfangene Antwort. Möglicherweise müssen Sie Maßnahmen ergreifen, damit der OCSP-Responder zugänglich ist.
Plattform | Unterstützung |
---|---|
![]() |
IBM MQ TLS unterstützt Überprüfungen auf widerrufene Zertifikate mithilfe von OCSP oder von CRLs und ARLs auf LDAP-Servern, wobei OCSP die bevorzugte Methode ist. IBM MQ-Klassen für Java™ kann die OCSP-Informationen einer Clientkanaldefinitionstabelle nicht nutzen. Sie können OCSP jedoch wie im Abschnitt Widerrufene Zertifikate und OCSP in der IBM Knowledge Center konfigurieren. |
![]() |
IBM MQ TLS unterstützt Überprüfungen auf widerrufene Zertifikate mithilfe von OCSP oder von CRLs und ARLs auf LDAP-Servern, wobei OCSP die bevorzugte Methode ist. IBM MQ-Klassen für Java kann die OCSP-Informationen einer Clientkanaldefinitionstabelle nicht nutzen. Sie können OCSP jedoch wie im Abschnitt Widerrufene Zertifikate und OCSP in der IBM Knowledge Center konfigurieren. |
![]() |
IBM MQ TLS unterstützt Überprüfungen auf widerrufene Zertifikate mithilfe von CRLs und ARLs nur auf LDAP-Servern. Auf z/OS-Systemen unterstützt IBM MQ kein OCSP. |
![]() |
IBM MQ TLS unterstützt Überprüfungen auf widerrufene Zertifikate mithilfe von CRLs und ARLs nur auf LDAP-Servern. Auf IBM i:-Systemen unterstützt IBM MQ kein OCSP. |
- Mithilfe der AIA-Zertifikatserweiterung (AIA - AuthorityInfoAccess) in dem Zertifikat, das überprüft werden soll.
- Mithilfe einer URL, die in einem Authentifizierungsdatenobjekt oder von einer Clientanwendung angegeben wird.
Eine URL, die in einem Authentifizierungsdatenobjekt oder von einer Clientanwendung angegeben wird, hat Vorrang vor einer URL in einer AIA-Zertifikatserweiterung.
Die URL des OCSP-Responders kann hinter einer Firewall liegen. Ist dies der Fall, konfigurieren Sie die Firewall neu, sodass auf den OCSP-Responder zugegriffen werden kann, oder konfigurieren Sie einen OCSP-Proxy-Server. Geben Sie den Namen des Proxy-Servers mithilfe der Variablen 'SSLHTTPProxyName' in der SSL-Zeilengruppe an. Auf Clientsystemen können Sie den Namen des Proxy-Servers auch mithilfe der Umgebungsvariablen MQSSLPROXY angeben.
Wenn es für Sie nicht wichtig ist, ob TLS-Zertifikate widerrufen werden, da Sie das Programm vielleicht in einer Testumgebung ausführen, können Sie 'OCSPCheckExtensions' in der SSL-Zeilengruppe auf NO setzen. Wenn Sie diese Variable festlegen, werden alle AIA-Zertifikatserweiterungen ignoriert. Diese Lösung ist in einer Produktionsumgebung, in der Sie Benutzern, die widerrufene Zertifikate präsentieren, den Zugriff vermutlich nicht gewähren möchten, sehr wahrscheinlich nicht annehmbar.
- Good (Gut)
- Das Zertifikat ist gültig.
- Revoked (Widerrufen)
- Das Zertifikat wird widerrufen.
- Unbekannt
- Dieses Ergebnis kann eine der drei folgenden Ursachen haben:
- IBM MQ kann auf den OCSP-Responder nicht zugreifen.
- Der OCSP-Responder hat eine Antwort gesendet, IBM MQ kann die digitale Signatur der Antwort jedoch nicht überprüfen.
- Der OCSP-Responder hat eine Antwort gesendet, die angibt, dass er nicht über Widerrufsdaten für das Zertifikat verfügt.
Standardmäßig lehnt IBM MQ eine Verbindung ab, wenn die OCSP-Antwort Unbekannt empfangen wird, und gibt eine Fehlernachricht aus. Sie können dieses Verhalten ändern, indem Sie das Attribut 'OCSPAuthentication' festlegen. Dies ist auf UNIX-Systemen in der SSL-Zeilengruppe der Datei qm.ini bzw. in der WebSphere-Registry oder in der SSL-Zeilengruppe der Clientkonfigurationsdatei enthalten. Es kann auf den zutreffenden Plattformen in IBM MQ Explorer festgelegt werden.
OCSP-Ergebnis Unbekannt
Wenn IBM MQ das OCSP-Ergebnis Unbekannt empfängt, hängt sein Verhalten vom Attribut 'OCSPAuthentication' ab. Für Warteschlangenmanager ist dieses Attribut auf UNIX-Systemen in der SSL-Zeilengruppe der Datei qm.ini bzw. in der Windows-Registrierung enthalten und kann in IBM MQ Explorer festgelegt werden. Für Clients ist es in der SSL-Zeilengruppe der Clientkonfigurationsdatei enthalten.
Wenn das Ergebnis Unbekannt empfangen wird und 'OCSPAuthentication' auf REQUIRED gesetzt ist (der Standardwert), lehnt IBM MQ die Verbindung ab und gibt eine Fehlernachricht vom Typ AMQ9716 aus. Wenn Warteschlangenmanager-SSL-Ereignisnachrichten aktiviert sind, wird eine SSL-Ereignisnachricht vom Typ MQRC_CHANNEL_SSL_ERROR generiert, wobei 'ReasonQualifier' auf MQRQ_SSL_HANDSHAKE_ERROR gesetzt ist.
Wenn das Ergebnis Unbekannt empfangen wird und 'OCSPAuthentication' auf OPTIONAL gesetzt ist, lässt IBM MQ das Starten des SSL-Kanals zu und es werden keine Warnungen oder SSL-Ereignisnachrichten generiert.
Wenn das Ergebnis Unbekannt empfangen wird und 'OCSPAuthentication' auf WARN gesetzt ist, wird der SSL-Kanal gestartet, IBM MQ gibt jedoch eine Warnung vom Typ AMQ9719 im Fehlerprotokoll aus. Wenn Warteschlangenmanager-SSL-Ereignisnachrichten aktiviert sind, wird eine SSL-Ereignisnachricht vom Typ MQRC_CHANNEL_SSL_WARNING generiert, wobei 'ReasonQualifier' auf MQRQ_SSL_UNKNOWN_REVOCATION gesetzt ist.
Digitale Unterzeichnung von OCSP-Antworten
Ein OCSP-Responder kann seine Antworten mit einer der drei folgenden Methoden signieren. Ihr Responder informiert sie, welche Methode verwendet wird.- Die OCSP-Antwort kann mithilfe desselben Zertifikats einer Zertifizierungsstelle digital signiert werden, die das Zertifikat ausgegeben hat, das Sie überprüfen. In diesem Fall müssen Sie kein zusätzliches Zertifikat konfigurieren. Die Schritte, die Sie zum Herstellen der SSL-Verbindung ausgeführt haben, sind für die Überprüfung der OCSP-Antwort ausreichend.
- Die OCSP-Antwort kann mithilfe eines anderen Zertifikats digital signiert werden, das von derselben Zertifizierungsstelle signiert wurde, die das Zertifikat ausgegeben hat, das Sie überprüfen. Das Signaturzertifikat wird in diesem Fall zusammen mit der OCSP-Antwort übertragen. Das Zertifikat, das vom OCSP-Responder übertragen wird, muss über eine erweiterte Schlüsselnutzungserweiterung (Extended Key Usage Extension) verfügen, die auf 'id-kp-OCSPSigning' gesetzt ist, sodass es für diesen Zweck anerkannt werden kann. Da die OCSP-Antwort mit dem Zertifikat übertragen wird, das sie signiert hat (und dieses Zertifikat von einer Zertifizierungsstelle signiert wurde, die für die SSL-Verbindung bereits anerkannt ist), ist keine zusätzliche Zertifikatskonfiguration erforderlich.
- Die OCSP-Antwort kann mithilfe eines anderen Zertifikats digital signiert werden, das nicht direkt mit dem Zertifikat in Beziehung steht, das Sie überprüfen. In diesem Fall wird die OCSP-Antwort von einem Zertifikat signiert, das vom OCSP-Responder selbst ausgegeben wurde. Sie müssen eine Kopie des OCSP-Responder-Zertifikats zur Schlüsseldatenbank des Clients oder Warteschlangenmanagers hinzufügen, der die OCSP-Prüfung ausführt. Siehe CA-Zertifikat (oder den CA-Teil eines selbst signierten Zertifikats) zu einem Schlüsselrepository hinzufügen in der IBM Knowledge Center. Wenn ein Zertifikat einer Zertifizierungsstelle hinzugefügt wird, wird es standardmäßig als Trusted Root hinzugefügt. Dies ist die erforderliche Einstellung in diesem Kontext. Wenn dieses Zertifikat nicht hinzugefügt wird, kann IBM MQ die digitale Signatur der OCSP-Antwort und die OCSP-Prüfungsergebnisse in einem Ergebnis vom Typ Unbekannt nicht überprüfen, was dazu führen kann, dass IBM MQ je nach OCSPAuthentication-Wert den Kanal schließt.