[AIX, Linux, Windows]

Práce s protokolem OCSP (Online Certificate Status Protocol)

Produkt IBM® MQ určuje, který odpovídací modul protokolu OCSP (Online Certificate Status Protocol) má být použit, a zpracovává přijatou odezvu. V některých případech je nutné provést kroky, kterými zpřístupníte odpovídací modul OCSP.

Objekt Ověřovací informace obsahuje ověřovací údaje používané při kontrole, zda je certifikát TLS/TLS zrušen nebo ne.
Poznámka: Tyto informace platí pouze pro systémy IBM MQ for AIX®, Linux®a Windows . V následující tabulce jsou uvedeny informace o podpoře ověřovacích informací TLS produktu IBM MQ pro různé platformy:
Tabulka 1. Jak produkt IBM MQ TLS podporuje ověřovací informace na různých platformách
Platforma Podpora
[AIX, Linux, Windows]IBM MQ for AIX, Linux, and Windows Protokol TLS produktu IBM MQ podporuje kontrolu zrušených certifikátů pomocí protokolu OCSP nebo použití seznamů CRL a ARL na serverech LDAP s metodou OCSP jako upřednostňovanou metodou. Produkt IBM MQ Classes for Java nemůže použít informace OCSP v souboru s tabulkou definic kanálů klienta. Nicméně můžete OCSP nakonfigurovat podle popisu uvedeného v tématu Zrušené certifikáty a OCSP v dokumentaci produktu IBM Documentation.
[z/OS]IBM MQ for z/OS® Protokol TLS produktu IBM MQ podporuje kontrolu zrušených certifikátů pouze pomocí seznamů CRL a ARL na serverech LDAP. Systémy IBM MQ for z/OS nemohou protokol OCSP používat.
[IBM i]IBM MQ for IBM i Protokol TLS produktu IBM MQ podporuje kontrolu zrušených certifikátů pouze pomocí seznamů CRL a ARL na serverech LDAP. Systémy IBM MQ for IBM i nemohou protokol OCSP používat.
Chcete-li zkontrolovat stav odvolání digitálního certifikátu pomocí protokolu OCSP, produkt IBM MQ určí, který odpovídací modul OCSP bude kontaktovat jedním ze dvou způsobů:
  • pomocí rozšíření certifikátu AIA (AuthorityInfoAccess) v kontrolovaném certifikátu;
  • pomocí adresy URL uvedené v objektu ověřovacích informací nebo určené aplikací klienta.

Adresa URL uvedená v objektu ověřovacích informací nebo v aplikaci klienta má přednost před adresou URL v rozšíření certifikátu AIA.

Adresa URL odpovídacího modulu OCSP se může nacházet za bránou firewall – v takovém případě změňte konfiguraci brány firewall tak, aby bylo možné přistupovat k odpovídacímu modulu OCSP, nebo nastavte server proxy OCSP. Název serveru proxy zadejte pomocí proměnné SSLHTTPProxyName v sekci SSL. V klientských systémech můžete název serveru proxy zadat také pomocí proměnné prostředí MQSSLPROXY.

Pokud vám nezáleží na tom, zda jsou certifikáty TLS zrušené, například proto, že pracujete v testovacím prostředí, můžete nastavit proměnnou OCSPCheckExtensions v sekci SSL na hodnotu NO. Pokud nastavíte tuto proměnnou, bude ignorováno rozšíření certifikátu AIA. V provozním prostředí, kde zřejmě nebudete chtít umožnit přístup uživatelům předkládajícím zrušené certifikáty, toto řešení pravděpodobně nebude přijatelné.

Volání přístupu k odpovídacímu modulu OCSP může vrátit jeden z následujících tří výsledků:
Platný
Certifikát je platný.
Zrušený
Certifikát je zrušený.
Neznámý
Tento výsledek se může vyskytnout ze tří různých příčin:
  • Produkt IBM MQ nemůže přistupovat k odpovídacímu modulu OCSP.
  • Odpovídací modul OCSP odeslal odezvu, ale produkt IBM MQ nemůže ověřit digitální podpis odpovědi.
  • Odpovídací modul OCSP odeslal odezvu s informací, že nemá k dispozici žádná data o odvolání daného certifikátu.

Ve výchozím nastavení produkt IBM MQ odmítne připojení, pokud přijme odezvu OCSP Neznámýa vydá chybovou zprávu. Toto chování lze změnit nastavením atributu OCSPAuthentication. Tento atribut se nachází v sekci SSL souboru qm.ini pro systémy AIX a Linux , registru WebSphere ® nebo sekci SSL konfiguračního souboru klienta. Lze ji nastavit pomocí PrůzkumníkaIBM MQ na příslušných platformách.

Výsledek protokolu OCSP Neznámý

Pokud produkt IBM MQ obdrží výsledek protokolu OCSP Neznámý, bude jeho chování záviset na nastavení atributu OCSPAuthentication. Pro správce front je tento atribut zadržen ve stanze SSL souboru qm.ini pro systémy AIX a Linux nebo registr Okna a lze jej nastavit pomocí Průzkumník IBM MQ. U klientů je umístěn v sekci SSL konfiguračního souboru klienta.

Je-li přijat výsledek Neznámý a atribut OCSPAuthentication je nastaven na hodnotu REQUIRED (výchozí hodnota), produkt IBM MQ odmítne připojení a vydá chybovou zprávu typu AMQ9716. Jsou-li povoleny zprávy o událostech správce front SSL, dojde k vygenerování zprávy o události SSL typu MQRC_CHANNEL_SSL_ERROR s atributem ReasonQualifier nastaveným na hodnotu MQRQ_SSL_HANDSHAKE_ERROR.

Je-li přijat výsledek Neznámý a atribut OCSPAuthentication je nastaven na VOLITELNÝ, produkt IBM MQ umožní spuštění kanálu SSL a vygenerování zpráv s varováními ani zprávami o SSL.

Je-li přijat výsledek Neznámý a atribut OCSPAuthentication je nastaven na hodnotu WARN, kanál SSL se spustí, ale produkt IBM MQ vydá v protokolu chyb varovnou zprávu typu AMQ9717 . Jsou-li povoleny zprávy o událostech správce front SSL, dojde k vygenerování zprávy o události SSL typu MQRC_CHANNEL_SSL_WARNING s atributem ReasonQualifier nastaveným na hodnotu MQRQ_SSL_UNKNOWN_REVOCATION.

Digitální podepisování odezev OCSP

Odpovídací modul OCSP může své odezvy podepisovat třemi různými způsoby. Váš odpovídací modul vás informuje o tom, která metoda je použita.
  • Odezva OCSP může být digitálně podepsána s použitím téhož certifikátu CA, který byl použit k vystavení kontrolovaného certifikátu. V takovém případě nepotřebujete nastavovat žádný další certifikát. Kroky, které jste již provedli při vytváření spojení SSL, postačují k ověření odezvy OCSP.
  • Odezva OCSP může být digitálně podepsána s použitím jiného certifikátu podepsaného stejnou CA, která vydala kontrolovaný certifikát. Podpisový certifikát je v tomto případě přenášen v jednom toku s odezvou OCSP. Certifikát přenášený tokem z odpovídacího modulu OCSP musí mít nastavené rozšíření použití rozšířeného klíče na hodnotu id-kp-OCSPSigning, aby mu bylo možné pro tento účel důvěřovat. Jelikož je odezva OCSP přenášena společně s certifikátem použitým k jejímu podepsání (a tento certifikát je podepsán CA, která je již pro účel propojení SSL považována za důvěryhodnou), není třeba provádět žádné další nastavování certifikátů.
  • Odezva OCSP může být digitálně podepsána s použitím jiného certifikátu, který přímo nesouvisí s kontrolovaným certifikátem. V takovém případě je odezva OCSP podepsána certifikátem vydaným samotným odpovídacím modulem OCSP. Kopii certifikátu odpovídacího modulu OCSP je nutné přidat do databáze klíčů klienta nebo správce front, který provádí kontrolu OCSP. Další informace naleznete v tématu Přidání certifikátu CA (nebo části certifikátu podepsaného držitelem CA) do úložiště klíčů v dokumentaci IBM Documentation. Přidávaný certifikát CA je standardně přidán jako důvěryhodný kořenový certifikát, což je v tomto kontextu povinné nastavení. Není-li tento certifikát přidán, produkt IBM MQ nemůže ověřit digitální podpis v odezvě OCSP a kontrola OCSP má za následek stav Neznámý , který může způsobit zavření kanálu produktem IBM MQ . na hodnotu objektu OCSPAuthentication.