[AIX, Linux, Windows]

Praca z protokołem OCSP (Online Certificate Status Protocol)

Produkt IBM® MQ określa, który program odpowiadający OCSP (Online Certificate Status Protocol) ma być używany, a także obsługuje otrzymaną odpowiedź. Udostępnienie programu odpowiadającego OCSP może wymagać wykonania odpowiednich czynności.

Obiekt informacji uwierzytelniającej zawiera informację uwierzytelniającą, która jest używana podczas sprawdzania, czy certyfikat TLS został odwołany.
Uwaga: Te informacje dotyczą tylko systemu IBM MQ dla systemów AIX®, Linux®i Windows . W poniższej tabeli przedstawiono obsługę informacji uwierzytelniających protokołu TLS w produkcie IBM MQ dla różnych platform:
Tabela 1. W jaki sposób IBM MQ TLS obsługuje informacje uwierzytelniania na różnych platformach
Platforma Obsługa
[AIX, Linux, Windows]IBM MQ dla systemów AIX, Linuxi Windows Produkt IBM MQ TLS obsługuje sprawdzanie unieważnionych certyfikatów przy użyciu protokołu OCSP lub przy użyciu list CRL i ARL na serwerach LDAP, przy czym protokół OCSP jest metodą preferowaną. Klasy IBM MQ classes for Java nie mogą używać informacji OCSP w pliku tabeli definicji kanału klienta. Można jednak skonfigurować protokół OCSP w sposób opisany w sekcji Unieważnione certyfikaty i OCSP w produkcie Dokumentacja produktu IBM.
[z/OS]IBM MQ for z/OS® Produkt IBM MQ TLS obsługuje sprawdzanie unieważnionych certyfikatów przy użyciu list CRL i ARL tylko na serwerach LDAP. W systemach IBM MQ for z/OS nie można używać protokołu OCSP.
[IBM i]IBM MQ for IBM i Produkt IBM MQ TLS obsługuje sprawdzanie unieważnionych certyfikatów przy użyciu list CRL i ARL tylko na serwerach LDAP. W systemach IBM MQ for IBM i nie można używać protokołu OCSP.
Aby sprawdzić status odwołania certyfikatu cyfrowego za pomocą protokołu OCSP, IBM MQ określa, który moduł odpowiadający OCSP ma nawiązać kontakt na dwa sposoby:
  • Przy użyciu rozszerzenia certyfikatu AIA w certyfikacie, który ma zostać sprawdzony.
  • Przy użyciu adresu URL określonego w obiekcie informacji uwierzytelniającej lub przez aplikację kliencką.

Adres URL określony w obiekcie informacji uwierzytelniającej lub przez aplikację kliencką ma priorytet nad adresem URL w rozszerzeniu certyfikatu AIA.

Adres URL programu odpowiadającego OCSP może wskazywać lokalizację znajdującą się poza firewallem. W takim przypadku należy zmienić konfigurację firewalla, aby program odpowiadający OCSP był dostępny, lub skonfigurować serwer proxy OCSP. Należy określić nazwę serwera proxy przy użyciu zmiennej SSLHTTPProxyName w sekcji SSL. W systemach klienckich nazwę serwera proxy można także określić, używając zmiennej środowiskowej MQSSLPROXY.

Jeśli nie jest ważne, czy certyfikaty TLS zostały odwołane (na przykład w przypadku środowiska testowego), można ustawić zmienną OCSPCheckExtensions na wartość NO w sekcji SSL. Po ustawieniu tej zmiennej wszystkie rozszerzenia certyfikatu AIA są ignorowane. To rozwiązanie raczej nie jest dopuszczalne w środowisku produkcyjnym, w którym zazwyczaj nie umożliwia się dostępu użytkownikom przedstawiającym odwołane certyfikaty.

Wywołanie mające na celu uzyskanie dostępu do programu odpowiadającego OCSP może zwrócić jeden z następujących trzech wyników:
Dobry
Certyfikat jest poprawny.
Odwołany
Certyfikat jest odwołany.
Nieznany
Powodem zwrócenia tego wyniku może być jedna z trzech przyczyn:
  • Produkt IBM MQ nie może uzyskać dostępu do modułu odpowiadającego OCSP.
  • Responder OCSP wysłał odpowiedź, ale IBM MQ nie może zweryfikować podpisu cyfrowego odpowiedzi.
  • Program odpowiadający OCSP wysłał odpowiedź, która wskazuje, że nie ma danych odwołania dla certyfikatu.

Domyślnie program IBM MQ odrzuca połączenie, jeśli odbiera odpowiedź OCSP Nieznanyi wysyła komunikat o błędzie. Można zmienić to zachowanie, ustawiając atrybut OCSPAuthentication. Jest to przechowywane w sekcji SSL pliku qm.ini w systemach AIX i Linux , w rejestrze WebSphere ® lub w sekcji SSL pliku konfiguracyjnego klienta. Można go ustawić przy użyciu programu IBM MQ Explorer na odpowiednich platformach.

Wynik OCSP Nieznany

Jeśli program IBM MQ otrzyma wynik OCSP Nieznany, jego zachowanie jest zależne od ustawienia atrybutu OCSPAuthentication. W przypadku menedżerów kolejek ten atrybut jest wstrzymany w sekcji SSL pliku qm.ini dla systemów AIX i Linux lub w rejestrze Okna i można go ustawić za pomocą IBM MQ Eksplorator. W przypadku klientów ten atrybut znajduje się w sekcji SSL pliku konfiguracyjnego klienta.

Jeśli zostanie odebrany wynik Nieznany i atrybut OCSPAuthentication ma ustawioną wartość REQUIRED (wartość domyślna), program IBM MQ odrzuci połączenie i wysyła komunikat o błędzie typu AMQ9716. Jeśli komunikaty zdarzeń SSL w menedżerze kolejek są włączone, generowany jest komunikat zdarzenia SSL typu MQRC_CHANNEL_SSL_ERROR z opcją ReasonQualifier ustawioną na wartość MQRQ_SSL_HANDSHAKE_ERROR.

Jeśli zostanie odebrany wynik Nieznany i atrybut OCSPAuthentication ma wartość OPTIONAL, program IBM MQ zezwoli na uruchomienie kanału SSL i nie zostaną wygenerowane ostrzeżenia ani komunikaty zdarzeń SSL.

Jeśli zostanie odebrany wynik Nieznany , a parametr OCSPAuthentication ma ustawioną wartość WARN, kanał SSL zostanie uruchomiony, ale program IBM MQ wysyła komunikat ostrzegawczy typu AMQ9717 w dzienniku błędów. Jeśli komunikaty zdarzeń SSL w menedżerze kolejek są włączone, generowany jest komunikat zdarzenia SSL typu MQRC_CHANNEL_SSL_WARNING z opcją ReasonQualifier ustawioną na wartość MQRQ_SSL_UNKNOWN_REVOCATION.

Podpisywanie cyfrowe odpowiedzi OCSP

Program odpowiadający OCSP może podpisać swoje odpowiedzi, używając jednej z trzech metod. Program odpowiadający informuje o użytej metodzie.
  • Odpowiedź OCSP może być podpisana cyfrowo przy użyciu tego samego certyfikatu CA, przy użyciu którego wystawiono sprawdzany certyfikat. W tym przypadku konfigurowanie dodatkowego certyfikatu nie jest wymagane. Kroki wykonane w celu nawiązania połączenia SSL wystarczają do sprawdzenia odpowiedzi OCSP.
  • Odpowiedź OCSP może być podpisana cyfrowo przy użyciu innego certyfikatu podpisanego przez ten sam ośrodek CA, który wystawił sprawdzany certyfikat. Certyfikat podpisujący jest w tym przypadku wprowadzany razem z odpowiedzią OCSP. Certyfikat wprowadzony przez program odpowiadający OCSP musi mieć opcję Extended Key Usage Extension (Rozszerzenie rozszerzonego użycia klucza) ustawioną na wartość id-kp-OCSPSigning, co umożliwia traktowanie go jako zaufanego na potrzeby tego zastosowania. Ponieważ odpowiedź OCSP jest wprowadzana z certyfikatem, przy użyciu którego ją podpisano (i ten certyfikat jest podpisany przez ośrodek CA, który jest zaufany na potrzeby połączenia SSL), nie jest wymagana dodatkowa konfiguracja certyfikatu.
  • Odpowiedź OCSP może być podpisana cyfrowo przy użyciu innego certyfikatu, który nie jest bezpośrednio powiązany ze sprawdzanym certyfikatem. W takim przypadku odpowiedź OCSP jest podpisana przy użyciu certyfikatu wystawionego przez sam program odpowiadający OCSP. Należy dodać kopię certyfikatu programu odpowiadającego OCSP do bazy danych kluczy klienta lub menedżera kolejek, który wykonuje operację sprawdzania OCSP. Patrz Dodawanie certyfikatu ośrodka CA (lub części ośrodka CA certyfikatu samopodpisanego) do repozytorium kluczy w podręczniku Dokumentacja produktu IBM. Certyfikat CA jest domyślnie dodawany jako zaufany certyfikat główny, co jest ustawieniem wymaganym w tym kontekście. Jeśli ten certyfikat nie zostanie dodany, program IBM MQ nie może sprawdzić podpisu cyfrowego w odpowiedzi OCSP, a wyniki sprawdzania OCSP są wynikiem Nieznany , co może spowodować zamknięcie kanału w produkcie IBM MQ , w zależności od tego, która z tych wartości jest bliska. w sprawie wartości OCSPAuthentication.