![[AIX, Linux, Windows]](ngalw.gif)
Mit OCSP (Online Certificate Status Protocol) arbeiten
IBM® MQ bestimmt, welcher OCSP-Responder (Online Certificate Status Protocol) verwendet werden soll, und verarbeitet die empfangene Antwort. Möglicherweise müssen Sie die Schritte ausführen, um den OCSP-Responder zugänglich zu machen.
Plattform | Support |
---|---|
![]() |
IBM MQ TLS unterstützt Überprüfungen auf widerrufene Zertifikate mithilfe von OCSP oder mithilfe von CRLs und ARLs auf LDAP-Servern, wobei OCSP die bevorzugte Methode ist. IBM MQ classes for Java kann die OCSP-Informationen in einer Clientkanaldefinitionstabellendatei nicht verwenden. Sie können OCSP jedoch wie in Widerrufene Zertifikate und OCSPbeschrieben konfigurieren. |
![]() |
IBM MQ TLS unterstützt nur auf LDAP-Servern Prüfungen auf widerrufene Zertifikate mit CRLs und ARLs. IBM MQ for z/OS -Systeme können OCSP nicht verwenden. |
![]() |
IBM MQ TLS unterstützt nur auf LDAP-Servern Prüfungen auf widerrufene Zertifikate mit CRLs und ARLs. IBM MQ for IBM i -Systeme können OCSP nicht verwenden. |
- Mithilfe der AIA-Zertifikatserweiterung (AIA - AuthorityInfoAccess) in dem Zertifikat, das überprüft werden soll.
- Mithilfe einer URL, die in einem Authentifizierungsdatenobjekt oder von einer Clientanwendung angegeben wird.
Eine URL, die in einem Authentifizierungsdatenobjekt oder von einer Clientanwendung angegeben wird, hat Vorrang vor einer URL in einer AIA-Zertifikatserweiterung.
Die URL des OCSP-Responders kann hinter einer Firewall liegen. Ist dies der Fall, konfigurieren Sie die Firewall neu, sodass auf den OCSP-Responder zugegriffen werden kann, oder konfigurieren Sie einen OCSP-Proxy-Server. Geben Sie den Namen des Proxy-Servers mithilfe der Variablen 'SSLHTTPProxyName' in der SSL-Zeilengruppe an. Auf Clientsystemen können Sie den Namen des Proxy-Servers auch mithilfe der Umgebungsvariablen MQSSLPROXY angeben.
Wenn es für Sie nicht wichtig ist, ob TLS-Zertifikate widerrufen werden, da Sie das Programm vielleicht in einer Testumgebung ausführen, können Sie 'OCSPCheckExtensions' in der SSL-Zeilengruppe auf NO setzen. Wenn Sie diese Variable festlegen, wird jede AIA-Zertifikatserweiterung ignoriert. Diese Lösung ist in einer Produktionsumgebung wahrscheinlich nicht akzeptabel, da Sie wahrscheinlich nicht den Zugriff von Benutzern mit widerrufbaren Zertifikaten zulassen möchten.
- Gut
- Das Zertifikat ist gültig.
- Widerrufen
- Das Zertifikat wird entzogen.
- Unbekannt
- Dieses Ergebnis kann sich aus einem der drei folgenden Gründe ergeben:
- IBM MQ kann nicht auf den OCSP-Responder zugreifen.
- Der OCSP-Responder hat eine Antwort gesendet, aber IBM MQ kann die digitale Signatur der Antwort nicht überprüfen.
- Der OCSP-Responder hat eine Antwort gesendet, die anzeigt, dass sie keine Widerrufsdaten für das Zertifikat hat.
Standardmäßig weist IBM MQ eine Verbindung zurück, wenn sie die OCSP-Antwort Unbekanntempfängt und eine Fehlernachricht ausgibt. Sie können dieses Verhalten ändern, indem Sie das Attribut 'OCSPAuthentication' festlegen. Dies ist in der SSL-Zeilengruppe der Datei qm.ini für AIX and Linux-Systeme, in der WebSphere®-Registry oder in der SSL-Zeilengruppe der Clientkonfigurationsdatei enthalten. Sie kann mit IBM MQ Explorer auf anwendbaren Plattformen festgelegt werden.
OCSP-Ergebnis Unbekannt
Wenn IBM MQ das OCSP-Ergebnis Unbekanntempfängt, hängt sein Verhalten von der Einstellung des Attributs 'OCSPAuthentication' ab. Für Warteschlangenmanager ist dieses Attribut in der SSL-Zeilengruppe der Datei qm.ini für AIX and Linux-Systeme oder in der Windows-Registry enthalten und kann mit IBM MQ Explorer festgelegt werden. Für Clients ist es in der SSL-Zeilengruppe der Clientkonfigurationsdatei enthalten.
Wenn das Ergebnis Unbekannt empfangen wird und OCSPAuthentication auf REQUIRED gesetzt ist (Standardwert), weist IBM MQ die Verbindung zurück und gibt eine Fehlernachricht des Typs AMQ9716aus. Wenn WS-Manager-SSL-Ereignisnachrichten aktiviert sind, wird eine SSL-Ereignisnachricht vom Typ MQRC_CHANNEL_SSL_ERROR mit dem Wert MQRQ_SSL_HANDSHAKE_ERROR generiert, die auf MQRQ_SSL_HANDSHAKE_ERROR gesetzt ist.
Wenn das Ergebnis Unbekannt empfangen wird und OCSPAuthentication auf OPTIONAL gesetzt ist, ermöglicht IBM MQ den Start des SSL-Kanals und es werden keine Warnungen oder SSL-Ereignisnachrichten generiert.
Wenn das Ergebnis Unbekannt empfangen wird und 'OCSPAuthentication ' auf WARN gesetzt ist, wird der SSL-Channel gestartet, aber IBM MQ gibt im Fehlerprotokoll eine Warnung des Typs AMQ9717 aus. Wenn WS-Manager-SSL-Ereignisnachrichten aktiviert sind, wird eine SSL-Ereignisnachricht vom Typ MQRC_CHANNEL_SSL_WARNING mit dem auf MQRQ_SSL_UNKNOWN_REVOCATION gesetzten ReasonQualifier-Set generiert.
Digitale Signatur von OCSP-Antworten
Ein OCSP-Responder kann seine Antworten mit einer der drei folgenden Methoden signieren. Ihr Responder informiert Sie darüber, welche Methode verwendet wird.- Die OCSP-Antwort kann mit einem CA-Zertifikat signiert werden, das das Zertifikat ausgestellt hat, das Sie überprüfen. In diesem Fall müssen Sie kein zusätzliches Zertifikat konfigurieren. Die Schritte, die Sie zum Herstellen der SSL-Verbindung ausgeführt haben, sind für die Überprüfung der OCSP-Antwort ausreichend.
- Die OCSP-Antwort kann mithilfe eines anderen Zertifikats digital signiert werden, das von derselben Zertifizierungsstelle signiert wurde, die das Zertifikat ausgegeben hat, das Sie überprüfen. Das Signaturzertifikat wird in diesem Fall zusammen mit der OCSP-Antwort übertragen. Das Zertifikat, das vom OCSP-Responder übertragen wird, muss über eine erweiterte Schlüsselnutzungserweiterung (Extended Key Usage Extension) verfügen, die auf 'id-kp-OCSPSigning' gesetzt ist, sodass es für diesen Zweck anerkannt werden kann. Da die OCSP-Antwort mit dem Zertifikat übertragen wird, das sie signiert hat (und dieses Zertifikat von einer Zertifizierungsstelle signiert wurde, die für die SSL-Verbindung bereits anerkannt ist), ist keine zusätzliche Zertifikatskonfiguration erforderlich.
- Die OCSP-Antwort kann mithilfe eines anderen Zertifikats digital signiert werden, das nicht direkt mit dem Zertifikat in Beziehung steht, das Sie überprüfen. In diesem Fall wird die OCSP-Antwort von einem Zertifikat signiert, das vom OCSP-Responder selbst ausgegeben wurde. Sie müssen eine Kopie des OCSP-Responder-Zertifikats zur Schlüsseldatenbank des Clients oder Warteschlangenmanagers hinzufügen, der die OCSP-Prüfung ausführt. Weitere Informationen finden Sie unter CA-Zertifikat (oder CA-Teil eines selbst signierten Zertifikats) einem Schlüsselrepository hinzufügen. Wenn ein CA-Zertifikat hinzugefügt wird, wird es standardmäßig als Trusted Root hinzugefügt. Dies ist die erforderliche Einstellung in diesem Kontext. Wenn dieses Zertifikat nicht hinzugefügt wird, kann IBM MQ die digitale Signatur in der OCSP-Antwort nicht verifizieren und die OCSP-Prüfung führt zu einem Ergebnis Unbekannt , das dazu führen kann, dass IBM MQ den Kanal abhängig vom Wert von OCSPAuthentication schließt.