![[AIX, Linux, Windows]](ngalw.gif)
Utilizzo di OCSP (Online Certificate Status Protocol)
IBM® MQ determina quale protocollo OCSP (Online Certificate Status Protocol) risponde all'utilizzo e gestisce la risposta ricevuta. Potrebbero essere necessarie delle azioni per rendere accessibile il responder OCSP.
Piattaforma | Supporto |
---|---|
![]() |
IBM MQ TLS supporta i controlli per i certificati revocati tramite OCSP, oppure utilizzando CRL e ARL sui server LDAP, con OCSP come metodo preferito. IBM MQ per Java non possono utilizzare le informazioni OCSP in un file di tabella di definizione del canale client. Tuttavia, è possibile configurare OCSP come descritto in Certificati Revoked e OCSP in IBM Documentazione. |
![]() |
IBM MQ TLS supporta i controlli per i certificati revocati tramite CRL e ARL solo su server LDAP. I sistemi IBM MQ for z/OS non possono utilizzare OCSP. |
![]() |
IBM MQ TLS supporta i controlli per i certificati revocati tramite CRL e ARL solo su server LDAP. IBM MQ per i sistemi IBM i non possono utilizzare OCSP. |
- Utilizzare l'estensione del certificato AuthorityInfoAccess (AIA) nel certificato da controllare.
- Utilizzare un URL specificato in un oggetto delle informazioni di autenticazione o specificato da un'applicazione client.
Un URL specificato in un oggetto delle informazioni di autenticazione o da un'applicazione client è prioritario rispetto a un URL in un'estensione del certificato AIA.
L'URL del responder OCSP potrebbe trovarsi dietro un firewall; in questo caso, riconfigurare il firewall in modo da consentire l'accesso al responder OCSP o impostare un server proxy OCSP. Specificare il nome del server proxy utilizzando la variabile SSLHTTPProxyName nella stanza SSL. Nei sistemi client, è anche possibile specificare il nome del server proxy utilizzando la variabile di ambiente MQSSLPROXY.
Se non è importante sapere se i certificati TLS siano revocati, magari perché ci si trova in un ambiente di prova, è possibile impostare OCSPCheckExtensions su NO nella stanza SSL. Se si imposta questa variabile, viene ignorata qualsiasi estensione del certificato AIA. Questa soluzione non è probabilmente accettabile in un ambiente di produzione, dove non si desidera consentire l'accesso ad utenti che presentano certificati revocati.
- Valido
- Il certificato è valido.
- Revocato
- Il certificato è revocato.
- Sconosciuto
- Questo risultato può essere emesso per uno dei seguenti motivi:
- IBM MQ non può accedere al responder OCSP.
- Il responder OCSP ha inviato una risposta, ma IBM MQ non può verificare la firma digitale della risposta.
- Il responder OCSP ha inviato una risposta che indica che non dispone di dati di revoca per il certificato.
Per impostazione predefinita, IBM MQ respinge una connessione se riceve una risposta OCSP di Unknowne emette un messaggio di errore. È possibile modificare questo comportamento impostando l'attributo OCSPAuthentication Questo si tiene nella stanza SSL del file qm.ini per i sistemi AIX e Linux , il registro WebSphere ® o la stanza SSL del file di configurazione del client. Può essere impostato utilizzando IBM MQ Explorer su piattaforme applicabili.
Risultato OCSP Sconosciuto
Se IBM MQ riceve un risultato OCSP di Sconosciuto, il suo funzionamento dipende dall'impostazione dell'attributo OCSPAuthentication. Per i gestori delle code, questo attributo si tiene nella stanza SSL del file qm.ini per i sistemi AIX e Linux o il registro Windows e può essere impostato utilizzando IBM MQ Explorer. Per i client, è contenuto nella stanza SSL del file di configurazione client.
Se un risultato di Unknown viene ricevuto e OCSPAuthentication è impostato su REQUIRED (il valore predefinito), IBM MQ respinge la connessione e emette un messaggio di errore di tipo AMQ9716. Se i messaggi di evento SSL del gestore code sono abilitati, viene generato un messaggio di evento SSL di tipo MQRC_CHANNEL_SSL_ERROR con ReasonQualifier impostato su MQRQ_SSL_HANDSHAKE_ERROR.
Se un risultato di Unknown viene ricevuto e OCSPAuthentication è impostato su OPTIONAL, IBM MQ consente di avviare il canale SSL e non vengono generati avvisi o messaggi di evento SSL.
Se un risultato di Unknown viene ricevuto e OCSPAuthentication è impostato su WARN, il canale SSL inizia ma IBM MQ emette un messaggio di avviso di tipo AMQ9717 nel log degli errori. Se i messaggi di evento SSL del gestore code sono abilitati, viene generato un messaggio di evento SSL di tipo MQRC_CHANNEL_SSL_WARNING con ReasonQualifier impostato su MQRQ_SSL_UNKNOWN_REVOCATION.
Firma digitale delle risposte OCSP
Un responder OCSP può firmare le proprie risposte in uno dei seguenti tre modi. Il responder informa l'utente del metodo utilizzato.- La risposta OCSP può essere firmata digitalmente utilizzando lo stesso certificato CA che ha emesso il certificato che si sta controllando. In questo caso, non è necessario impostare altri certificati; i passi già completati per stabilire la connettività SSL sono sufficienti per verificare la risposta OCSP.
- La risposta OCSP può essere firmata digitalmente utilizzando un altro certificato firmato dalla stessa (CA) che ha emesso il certificato che si sta controllando. In questo caso, il certificato di firma viene emesso insieme alla risposta OCSP. Il certificato emesso dal responder OCSP deve avere una Extended Key Usage Extension impostata su id-kp-OCSPSigning per poter essere considerato sicuro per questo scopo. Poiché la risposta OCSP viene emessa con il certificato che l'ha firmata (e tale certificato viene firmato da una CA già considerata sicura per la connettività SSL), non sono richieste impostazioni aggiuntive per il certificato.
- La risposta OCSP può essere firmata digitalmente utilizzando un altro certificato non correlato direttamente al certificato che si sta controllando. In questo caso, la risposta OCSP viene firmata da un certificato emesso dallo stesso responder OCSP. È necessario aggiungere una copia del certificato del responder OCSP al database delle chiavi del client o del gestore code che esegue la verifica OCSP. Vedi Aggiunta di un certificato CA (o della parte CA di un autocertificazione) in un repository chiavi in IBM Documentazione. Quando viene aggiunto un certificato CA, per impostazione predefinita viene aggiunto come root sicura, che rappresenta l'impostazione richiesta in questo contesto. Se questo certificato non viene aggiunto, IBM MQ non può verificare la firma digitale sulla risposta OCSP e i risultati del controllo OCSP in un risultato sconosciuto , che potrebbe causare IBM MQ per chiudere il canale, a seconda sul valore di OCSPAuthentication.