[AIX, Linux, Windows]

Utilizzo di OCSP (Online Certificate Status Protocol)

IBM® MQ determina quale responder OCSP (Online Certificate Status Protocol) utilizzare e gestisce la risposta ricevuta. Potrebbero essere necessarie delle azioni per rendere accessibile il responder OCSP.

Un oggetto delle informazioni di autenticazione contiene le informazioni di autenticazione utilizzate quando si verifica se un certificato TLS è stato revocato o meno.
Nota: queste informazioni si applicano solo a sistemi IBM MQ for AIX®, Linux®, and Windows . La seguente tabella mostra il IBM MQ supporto delle informazioni di autenticazione TLS per le diverse piattaforme:
Tabella 1. Come IBM MQ TLS supporta le informazioni di autenticazione su diverse piattaforme
Piattaforma Supporto
[AIX, Linux, Windows]IBM MQ for AIX, Linux, and Windows IBM MQ TLS supporta i controlli per i certificati revocati utilizzando OCSP o utilizzando i CRL e gli ARL sui server LDAP, con OCSP come metodo preferito. IBM MQ classes for Java non può utilizzare le informazioni OCSP in un file di tabella di definizione del canale client. Tuttavia, è possibile configurare OCSP come descritto in Certificati revocati e OCSP.
[z/OS]IBM MQ for z/OS® IBM MQ TLS supporta i controlli per i certificati revocati utilizzando i CRL e gli ARL solo sui server LDAP. I sistemi IBM MQ for z/OS non possono utilizzare OCSP.
[IBM i]IBM MQ for IBM i IBM MQ TLS supporta i controlli per i certificati revocati utilizzando i CRL e gli ARL solo sui server LDAP. I sistemi IBM MQ for IBM i non possono utilizzare OCSP.
Per controllare lo stato di revoca di un certificato digitale utilizzando OCSP, IBM MQ determina quale responder OCSP contattare in uno dei due modi:
  • Utilizzare l'estensione del certificato AuthorityInfoAccess (AIA) nel certificato da controllare.
  • Utilizzare un URL specificato in un oggetto delle informazioni di autenticazione o specificato da un'applicazione client.

Un URL specificato in un oggetto delle informazioni di autenticazione o da un'applicazione client è prioritario rispetto a un URL in un'estensione del certificato AIA.

L'URL del responder OCSP potrebbe trovarsi dietro un firewall; in questo caso, riconfigurare il firewall in modo da consentire l'accesso al responder OCSP o impostare un server proxy OCSP. Specificare il nome del server proxy utilizzando la variabile SSLHTTPProxyName nella stanza SSL. Nei sistemi client, è anche possibile specificare il nome del server proxy utilizzando la variabile di ambiente MQSSLPROXY.

Se non è importante sapere se i certificati TLS siano revocati, magari perché ci si trova in un ambiente di prova, è possibile impostare OCSPCheckExtensions su NO nella stanza SSL. Se si imposta questa variabile, viene ignorata qualsiasi estensione del certificato AIA. Questa soluzione non è probabilmente accettabile in un ambiente di produzione, dove non si desidera consentire l'accesso ad utenti che presentano certificati revocati.

La chiamata di accesso al responder OCSP può restituire uno dei seguenti risultati:
Valido
Il certificato è valido.
Revocato
Il certificato è revocato.
Sconosciuto
Questo risultato può essere emesso per uno dei seguenti motivi:
  • IBM MQ non può accedere al responder OCSP.
  • Il responder OCSP ha inviato una risposta, ma IBM MQ non può verificare la firma digitale della risposta.
  • Il responder OCSP ha inviato una risposta che indica che non dispone di dati di revoca per il certificato.

Per impostazione predefinita, IBM MQ rifiuta una connessione se riceve una risposta OCSP di Sconosciuto e genera un messaggio di errore. È possibile modificare questo comportamento impostando l'attributo OCSPAuthentication È contenuto nella stanza SSL del file qm.ini per i sistemi AIX and Linux, il registro WebSphere® o la stanza SSL del file di configurazione del client. Può essere impostato utilizzando IBM MQ Explorer sulle piattaforme applicabili.

Risultato OCSP Sconosciuto

Se IBM MQ riceve un esito OCSP di Sconosciuto, il suo comportamento dipende dall'impostazione dell'attributo OCSPAuthentication. Per i gestori code, questo attributo è contenuto nella stanza SSL del file qm.ini per i sistemi AIX and Linux oppure il registro Windows e può essere impostato utilizzando IBM MQ Explorer. Per i client, è contenuto nella stanza SSL del file di configurazione client.

Se viene ricevuto un esito di Sconosciuto e OCSPAuthentication è impostato su REQUIRED (il valore predefinito), IBM MQ rifiuta la connessione e genera un messaggio di errore di tipo AMQ9716. Se i messaggi di evento SSL del gestore code sono abilitati, viene generato un messaggio di evento SSL di tipo MQRC_CHANNEL_SSL_ERROR con ReasonQualifier impostato su MQRQ_SSL_HANDSHAKE_ERROR.

Se viene ricevuto un esito di Sconosciuto e OCSPAuthentication è impostato su OPTIONAL, IBM MQ consente l'avvio del canale e non vengono generati messaggi di evento SSL né vengono generate avvertenze.

Se viene ricevuto un esito di Sconosciuto e OCSPAuthentication è impostato su WARN, viene avviato il canale SSL ma IBM MQ genera un messaggio di avvertenza di tipo AMQ9717 nel log degli errori. Se i messaggi di evento SSL del gestore code sono abilitati, viene generato un messaggio di evento SSL di tipo MQRC_CHANNEL_SSL_WARNING con ReasonQualifier impostato su MQRQ_SSL_UNKNOWN_REVOCATION.

Firma digitale delle risposte OCSP

Un responder OCSP può firmare le proprie risposte in uno dei seguenti tre modi. Il responder informa l'utente del metodo utilizzato.
  • La risposta OCSP può essere firmata digitalmente utilizzando lo stesso certificato CA che ha emesso il certificato che si sta controllando. In questo caso, non è necessario impostare altri certificati; i passi già completati per stabilire la connettività SSL sono sufficienti per verificare la risposta OCSP.
  • La risposta OCSP può essere firmata digitalmente utilizzando un altro certificato firmato dalla stessa (CA) che ha emesso il certificato che si sta controllando. In questo caso, il certificato di firma viene emesso insieme alla risposta OCSP. Il certificato emesso dal responder OCSP deve avere una Extended Key Usage Extension impostata su id-kp-OCSPSigning per poter essere considerato sicuro per questo scopo. Poiché la risposta OCSP viene emessa con il certificato che l'ha firmata (e tale certificato viene firmato da una CA già considerata sicura per la connettività SSL), non sono richieste impostazioni aggiuntive per il certificato.
  • La risposta OCSP può essere firmata digitalmente utilizzando un altro certificato non correlato direttamente al certificato che si sta controllando. In questo caso, la risposta OCSP viene firmata da un certificato emesso dallo stesso responder OCSP. È necessario aggiungere una copia del certificato del responder OCSP al database delle chiavi del client o del gestore code che esegue la verifica OCSP. Consultare Aggiunta di un certificato CA (o della parte CA di un certificato autofirmato) in un repository delle chiavi. Quando viene aggiunto un certificato CA, per impostazione predefinita viene aggiunto come root sicura, che rappresenta l'impostazione richiesta in questo contesto. Se questo certificato non viene aggiunto, IBM MQ non è in grado di verificare la firma digitale sulla risposta OCSP e il controllo OCSP risulta in un risultato Sconosciuto , che potrebbe causare la chiusura del canale da parte di IBM MQ , in base al valore di OCSPAuthentication.