Работа с протоколом проверки состояния сертификатов (OCSP)
IBM® MQ выбирает промежуточного клиента OCSP (Протокол проверки состояния сертификатов) и обрабатывает полученный ответ. Дополнительно может потребоваться предоставить доступ к промежуточному клиенту OCSP.
Платформа | Поддержка |
---|---|
![]() |
Реализация TLS IBM MQ проверяет аннулированные сертификаты с помощью OCSP, а также с помощью CRL и ARL на серверах LDAP (OCSP является предпочитаемым способом). IBM MQ classes for Java™ не может использовать информацию OCSP в файле таблицы определений каналов клиента. Но можно настроить OCSP (см. раздел Аннулированные сертификаты и OCSP в IBM Knowledge Center). |
![]() |
Реализация TLS IBM MQ проверяет аннулированные сертификаты с помощью OCSP, а также с помощью CRL и ARL на серверах LDAP (OCSP является предпочитаемым способом). IBM MQ classes for Java не может использовать информацию OCSP в файле таблицы определений каналов клиента. Но можно настроить OCSP (см. раздел Аннулированные сертификаты и OCSP в IBM Knowledge Center). |
![]() |
Реализация TLS IBM MQ проверяет аннулированные сертификаты только с помощью CRL и ARL на серверах LDAP. IBM MQ в системах z/OS не может использовать OCSP. |
![]() |
Реализация TLS IBM MQ проверяет аннулированные сертификаты только с помощью CRL и ARL на серверах LDAP. IBM MQ в системах IBM i не может использовать OCSP. |
- С помощью расширения AuthorityInfoAccess (AIA) в проверяемом сертификате.
- С помощью URL, указанного в объекте идентификационных данных или указанного приложением-клиентом.
URL, указанный в объекте информации о соединении или в приложении-клиенте, обладает более высоким приоритетом по сравнению с URL из расширения сертификата AIA.
URL промежуточного клиента OCSP может быть расположен за брандмауэром; в этом случае необходимо разрешить доступ к промежуточному клиенту OCSP или настроить прокси-сервер OCSP. Укажите имя прокси-сервера с помощью переменной SSLHTTPProxyName из раздела SSL. В системах клиентов имя прокси-сервера можно указать с помощью переменной среды MQSSLPROXY.
Если проверка сертификатов TLS не требуется (например, в тестовой среде), то для свойства OCSPCheckExtensions в разделе SSL можно указать значение NO. Если эта переменная указана, то все расширения сертификатов AIA игнорируются. Такое решение не подходит для рабочей среды, в которой рекомендуется запрещать доступ пользователей с аннулированными сертификатами.
- Действителен
- Сертификат действителен.
- Аннулирован
- Сертификат аннулирован.
- Неизвестно
- Возможные причины такого результата:
- IBM MQ не может обратиться к промежуточному клиенту OCSP.
- Промежуточный клиент OCSP отправил ответ, однако IBM MQ не может проверить цифровую подпись ответа.
- Промежуточный клиент OCSP не обладает данными об отзыве сертификата.
По умолчанию IBM MQ отклоняет соединение при получении ответа Неизвестно и выдает сообщение об ошибке. При необходимости эту функцию можно настроить с помощью атрибута OCSPAuthentication. Он находится в разделе SSL файла qm.ini (UNIX), в реестре (WebSphere) или в разделе SSL файла конфигурации клиента. На поддерживаемых платформах его можно настроить с помощью IBM MQ Explorer.
Результат OCSP Неизвестно
Действия IBM MQ в ответ на получение результата OCSP Неизвестно зависят от значения атрибута OCSPAuthentication. В случае администраторов очередей этот атрибут находится в разделе SSL файла qm.ini (UNIX) или в реестре (Windows). Его можно настроить с помощью IBM MQ Explorer. В случае клиентов он расположен в разделе SSL файла конфигурации клиента.
Если для атрибута OCSPAuthentication указано значение REQUIRED (значение по умолчанию), то при получении результата Неизвестно IBM MQ отклоняет соединение и выдает сообщение об ошибке типа AMQ9716. Если включены сообщения событий SSL администратора очередей, то создается сообщение события типа MQRC_CHANNEL_SSL_ERROR, для параметра ReasonQualifier которого указано значение MQRQ_SSL_HANDSHAKE_ERROR.
Если для атрибута OCSPAuthentication указано значение OPTIONAL, то при получении результата Неизвестно IBM MQ разрешает запуск канала SSL без создания предупреждений и сообщений событий SSL.
Если для атрибута OCSPAuthentication указано значение WARN, то при получении результата Неизвестно IBM MQ разрешает запуск канала SSL и заносит в протокол ошибок предупреждение типа AMQ9717. Если включены сообщения событий SSL администратора очередей, то создается сообщение события типа MQRC_CHANNEL_SSL_WARNING, для параметра ReasonQualifier которого указано значение MQRQ_SSL_UNKNOWN_REVOCATION.
Цифровое подписание ответов OCSP
Промежуточный клиент OCSP может подписывать ответы тремя способами. Отвечающая сторона должна предоставить информацию о применяемом способе.- Для подписания ответа OCSP можно использовать сертификат той же сертификатной компанией (CA), которая выпустила проверяемый сертификат. В этом случае не требуется настраивать дополнительный сертификат; действия по настройке соединения SSL позволяют обеспечить проверку ответа OCSP.
- Для подписания ответа OCSP можно использовать другой сертификат, подписанный той же сертификатной компанией (CA), которая выпустила проверяемый сертификат. В этом случае сертификат подписи передается вместе с ответом OCSP. Сертификат, полученный от промежуточного клиента OCSP, должен содержать формат расширенного ключа id-kp-OCSPSigning. Поскольку вместе с ответом OCSP передается сертификат (этот сертификат подписан CA, которая уже входит в число надежных), дополнительная настройка сертификатов не требуется.
- Для подписания ответа OCSP можно использовать другой сертификат, не связанный с проверяемым сертификатом. В этом случае ответ OCSP подписан сертификатом, выпущенным самим промежуточным клиентом OCSP. Необходимо добавить сертификат промежуточного клиента OCSP в базу данных ключей клиента или администратора очередей, выполняющего проверку OCSP. См. Добавление сертификата CA (или компонента CA собственного сертификата) в хранилище ключей in IBM Knowledge Center. Сертификат CA по умолчанию добавляется в качестве надежного базового сертификата. Если сертификат не добавлен, то IBM MQ не сможет проверить цифровую подпись ответа OCSP и проверка OCSP возвратит результат Неизвестно, который может привести к закрытию канала со стороны IBM MQ в зависимости от значения параметра OCSPAuthentication.