Cómo trabajar con el protocolo de estado de certificados en línea (OCSP)
IBM® MQ determina qué programa de respuesta OSCP (Online Certificate Status Protocol) se utilizará y gestiona la respuesta recibida. Puede que tenga realizar pasos para que el canal de respuesta OCSP sea accesible.
Plataforma | Soporte |
---|---|
![]() |
IBM MQ TLS da soporte a comprobaciones para certificados revocados utilizando OCSP, o bien utilizando CRL y ARL en servidores LDAP, con OCSP como método preferido. IBM MQ classes for Java™ no puede utilizar la información OCSP en un archivo de tabla de definición de canal de cliente. Sin embargo, se puede configurar OCSP tal y como se describe en Certificados revocados y OCSP en IBM Knowledge Center. |
![]() |
IBM MQ TLS da soporte a comprobaciones para certificados revocados utilizando OCSP, o bien utilizando CRL y ARL en servidores LDAP, con OCSP como método preferido. IBM MQ classes for Java no puede utilizar la información OCSP en un archivo de tabla de definición de canal de cliente. Sin embargo, se puede configurar OCSP tal y como se describe en Certificados revocados y OCSP en IBM Knowledge Center. |
![]() |
IBM MQ TLS da soporte a comprobaciones para certificados revocados utilizando CRL y ARL únicamente en servidores LDAP. IBM MQ en sistemas z/OS no puede utilizar OCSP. |
![]() |
IBM MQ TLS da soporte a comprobaciones para certificados revocados utilizando CRL y ARL únicamente en servidores LDAP. IBM MQ en sistemas IBM i no puede utilizar OCSP. |
- Utilizando la extensión de certificados AuthorityInfoAccess (AIA) en el certificado que se debe comprobar.
- Utilizando un URL especificado en un objeto de información de autenticación o especificado mediante una aplicación cliente.
Un URL especificado en un objeto de información de autenticación o mediante una aplicación cliente tiene prioridad sobre un URL en una extensión de certificados AIA.
Puede que el URL del programa de respuesta OCSP tenga un cortafuegos; en este caso, vuelva a configurar el cortafuegos para que se pueda acceder al canal de respuesta OCSP o configure un servidor proxy OCSP. Especifique el nombre del servidor proxy utilizando la variable SSLHTTPProxyName en la stanza SSL. En sistemas cliente, también puede especificar el nombre del servidor proxy utilizando la variable de entorno MQSSLPROXY.
Si no está preocupado si se revocan los certificados TLS, quizá porque está realizando la ejecución en un entorno de prueba, puede establecer OCSPCheckExtensions en NO en la stanza de SSL. Si establece esta variable, se hace caso omiso de la extensión de certificados AIA. No es probable que esta solución se pueda aceptar en un entorno de producción, donde probablemente no desea permitir el acceso de los usuarios que presentan certificados revocados.
- Correcto
- El certificado es válido.
- Revocado
- El certificado se revoca.
- Desconocido
- Esta salida se puede deber a una de las tres razones siguientes:
- IBM MQ no puede acceder al programa de respuesta OCSP.
- El programa de respuesta OCSP ha enviado una respuesta, pero IBM MQ no puede verificar la firma digital de la respuesta.
- El programa de respuesta OCSP ha enviado una respuesta que indica que no hay datos de revocación para el certificado.
De forma predeterminada, IBM MQ rechaza una conexión si recibe una respuesta de OCSP Desconocido y emite un mensaje de error. Puede cambiar este comportamiento estableciendo el atributo OCSPAuthentication. Esto se mantiene en la stanza SSL del archivo qm.ini para sistemas UNIX, el registro de WebSphere o la stanza SSL del archivo de configuración cliente. Se puede establecer utilizando IBM MQ Explorer en las plataformas aplicables.
Salida OCSP Desconocido
Si IBM MQ recibe una salida OCSP Desconocido, su comportamiento depende del valor del atributo OCSPAuthentication. Para gestores de colas, este atributo se mantiene en la stanza SSL del archivo qm.ini para sistemas UNIX o el registro de Windows y se puede establecer utilizando IBM MQ Explorer. Para clientes, se mantiene en la stanza SSL del archivo de configuración cliente.
Si se recibe una salida Desconocido y OCSPAuthentication está establecido en REQUIRED (el valor predeterminado), IBM MQ rechaza la conexión y emite un mensaje de error del tipo AMQ9716. Si están habilitados mensajes de sucesos SSL del gestor de colas, se genera un mensaje de suceso SSL del tipo MQRC_CHANNEL_SSL_ERROR con ReasonQualifier establecido en MQRQ_SSL_HANDSHAKE_ERROR.
Si se recibe una salida Desconocido y OCSPAuthentication está establecido en OPTIONAL, IBM MQ permite que se inicie el canal SSL y no se genere ningún aviso o mensajes de suceso SSL.
Si se recibe una salida Desconocido y OCSPAuthentication está establecido en WARN, se inicia el canal SSL pero IBM MQ emite un mensaje de aviso del tipo AMQ9717 en el registro de errores. Si están habilitados los mensajes de sucesos SSL, se genera un mensaje de sucesos SSL del tipo MQRC_CHANNEL_SSL_WARNING con ReasonQualifier establecido en MQRQ_SSL_UNKNOWN_REVOCATION.
Firma digital de respuestas OCSP
Un programa de respuesta OCSP puede firmar sus respuestas en cualquiera de tres maneras. El programa de respuesta le informará del método que se utiliza.- El programa de respuesta OCSP puede firmarse digitalmente utilizando el mismo certificado CA que emitió el certificado que está comprobando. En este caso, no necesita configurar ningún certificado adicional; los pasos que ya ha tomado para establecer la conectividad SSL son suficientes para verificar la respuesta OCSP.
- La respuesta OCSP se puede utilizar digitalmente utilizando otro certificado firmado por la misma (CA) que emitió el certificado que está comprobando. El certificado para firmas fluye con la respuesta OCSP en este caso. El certificado que ha fluido desde el programa de respuesta OCSP debe tener una extensión de uso de clave ampliada establecido en id-kp-OCSPSigning para que pueda ser fiable para esta finalidad. Dado que la respuesta OCSP fluía con el certificado que lo firmó (y dicho certificado viene firmado por una entidad emisora de certificados que ya era fiable para la conectividad SSL), no se precisa ninguna configuración de certificados adicional.
- La respuesta OCSP puede firmarse digitalmente utilizando otro certificado que no esté relacionado directamente con el certificado que está comprobando. En este caso, la respuesta OCSP se firma mediante un certificado emitido por el propio programa de respuesta OCSP. Debe añadir una copia del certificado del programa de respuesta OCSP a la base de datos de claves del cliente o del gestor de colas que realiza la comprobación OCSP. Consulte Adición de un certificado CA (o la parte CA de un certificado autofirmado) en un depósito de claves en IBM Knowledge Center. Cuando se añade un certificado CA, de forma predeterminada se añade como raíz fiable, que es el valor necesario en este contexto. Si este certificado no se añade, IBM MQ no puede verificar la firma digital en la respuesta de OCSP y la comprobación de OCSP tiene como resultado una salida Desconocido, lo que podría hacer que IBM MQ cierre el canal, en función del valor de OCSPAuthentication.