![[AIX, Linux, Windows]](ngalw.gif)
Utilisation du protocole OCSP (Online Certificate Status Protocol)
IBM® MQ détermine le répondeur OCSP (Online Certificate Status Protocol) à utiliser et gère la réponse reçue. Vous pouvez être amené à réaliser certaines étapes pour pouvoir accéder au répondeur OCSP.
Plateforme | Support |
---|---|
![]() |
IBM MQ TLS prend en charge les vérifications des certificats révoqués à l'aide d'OCSP, ou à l'aide de CRL et ARL sur les serveurs LDAP, avec OCSP comme méthode préférée. IBM MQ classes for Java ne peut pas utiliser les informations OCSP dans un fichier de table de définition de canal du client. Toutefois, vous pouvez configurer OCSP comme décrit dans Certificats révoqués et OCSP. |
![]() |
IBM MQ TLS prend en charge les vérifications des certificats révoqués à l'aide de listes CRL et ARL sur les serveurs LDAP uniquement. Les systèmes IBM MQ for z/OS ne peuvent pas utiliser OCSP. |
![]() |
IBM MQ TLS prend en charge les vérifications des certificats révoqués à l'aide de listes CRL et ARL sur les serveurs LDAP uniquement. Les systèmes IBM MQ for IBM i ne peuvent pas utiliser OCSP. |
- Par le biais de l'extension de certificat AuthorityInfoAccess (AIA) dans le certificat à contrôler.
- Par le biais de l'adresse URL spécifiée dans un objet d'informations d'authentification ou spécifiée par une application client.
Une URL spécifiée dans un objet d'informations d'authentification ou par une application client est prioritaire par rapport à une URL d'une extension de certificat AIA.
L'URL du répondeur OCSP peut figurer derrière un pare-feu ; si c'est le cas, reconfigurez le pare-feu de sorte que le répondeur OCSP soit accessible ou configurez un serveur proxy OCSP. Indiquez le nom du serveur proxy en utilisant la variable SSLHTTPProxyName dans la strophe SSL. Sur les systèmes client, vous pouvez également indiquer le nom du serveur proxy à l'aide de la variable d'environnement MQSSLPROXY.
Si vous n'êtes pas concerné par la révocation des certificats TLS, peut-être parce que vous exécutez un environnement de test, vous pouvez définir OCSPCheckExtensions sur NO dans la strophe SSL. Si vous configurez cette variable, toute extension de certificat AIA est ignorée. Cette solution sera probablement refusée dans un environnement de production, dans lequel vous ne souhaitez sûrement pas autoriser les utilisateurs à accéder aux certificats révoqués.
- Bon
- Le certificat est valide.
- Révoqué
- Le certificat est révoqué.
- Inconnu
- Ce résultat peut survenir à cause de l'une des trois raisons suivantes :
- IBM MQ ne peut pas accéder au répondeur OCSP.
- Le répondeur OCSP a envoyé une réponse, mais IBM MQ ne peut pas vérifier la signature numérique de la réponse.
- Le répondeur OCSP a envoyé une réponse qui indique qu'il n'existe pas de données de révocation pour le certificat.
Par défaut, IBM MQ rejette une connexion s'il reçoit une réponse OCSP Inconnuet émet un message d'erreur. Vous pouvez modifier ce comportement en définissant l'attribut OCSPAuthentication. Cela se trouve dans la strophe SSL du fichier qm.ini pour les systèmes AIX and Linux , le registre WebSphere® ou la strophe SSL du fichier de configuration du client. Il peut être défini à l'aide de IBM MQ Explorer sur les plateformes applicables.
Résultat OCSP Inconnu
Si IBM MQ reçoit un résultat OCSP Inconnu, son comportement dépend de la valeur de l'attribut OCSPAuthentication. Pour les gestionnaires de files d'attente, cet attribut est détenu dans la strophe SSL du fichier qm.ini pour les systèmes AIX and Linux ou le registre Windows, et il peut être défini à l'aide de IBM MQ Explorer. Pour les clients, il s'agit de la strophe SSL du fichier de configuration du client.
Si un résultat Inconnu est reçu et que l'authentification OCSPAuthentication est définie sur REQUIRED (valeur par défaut), IBM MQ rejette la connexion et émet un message d'erreur de type AMQ9716. Si les messages d'événements SSL de gestionnaire de files d'attente sont activés, un message d'événement SSL de type MQRC_CHANNEL_SSL_ERROR, avec ReasonQualifier défini sur MQRQ_SSL_HANDSHAKE_ERROR, est généré.
Si un résultat Inconnu est reçu et que l'authentification OCSPAuthentication est définie sur OPTIONAL, IBM MQ permet au canal SSL de démarrer et aucun avertissement ou message d'événement SSL n'est généré.
Si un résultat Inconnu est reçu et que l'authentification OCSPAuthentication est définie sur WARN, le canal SSL démarre mais IBM MQ émet un message d'avertissement de type AMQ9717 dans le journal des erreurs. Si les messages d'événements SSL de gestionnaire de files d'attente sont activés, un message d'événement SSL de type MQRC_CHANNEL_SSL_WARNING, avec ReasonQualifier défini sur MQRQ_SSL_UNKNOWN_REVOCATION, est généré.
Signature numérique de réponses OCSP
Un répondeur OCSP peut signer ses réponses de trois manières. Votre répondeur vous informe de la méthode à utiliser.- La réponse OCSP peut être signée numériquement à l'aide du même certificat CA qui a émis le certificat en cours de vérification. Dans ce cas, vous n'avez pas besoin de configurer d'autres certificats ; les étapes que vous avez déjà prises pour établir la connectivité SSL suffisent pour vérifier la réponse OCSP.
- La réponse OCSP peut être signée numériquement à l'aide d'un autre certificat signé par le même CA qui a émis le certificat en cours de vérification. Le certificat signataire est transmis avec la réponse OCSP dans ce cas. Le certificat transmis à partir du répondeur OCSP doit avoir une extension d'utilisation clé étendue définie sur id-kp-OCSPSigning pour pouvoir être digne de confiance. Etant donné que la réponse OCSP est transmise avec le certificat signataire (et que ce certificat est signé par un CA déjà digne de confiance pour la connectivité SSL), aucune configuration supplémentaire n'est requise.
- La réponse OCSP peut être signée numériquement à l'aide d'un autre certificat qui n'est pas lié au certificat en cours de vérification. Dans ce cas, la réponse OCSP est signée par un certificat émis par le répondeur OCSP. Vous devez ajouter une copie du certificat de répondeur OCSP à la base de données de clés du client ou du gestionnaire de files d'attente effectuant la vérification OCSP. Voir Ajout d'un certificat de l'autorité de certification (ou de la partie de l'autorité de certification d'un certificat autosigné) dans un référentiel de clés. Lors de l'ajout d'un certificat CA, il est ajouté par défaut en racine de confiance, ce qui représente le paramètre requis dans ce contexte. Si ce certificat n'est pas ajouté, IBM MQ ne peut pas vérifier la signature numérique sur la réponse OCSP et la vérification OCSP génère un résultat Inconnu , ce qui peut entraîner la fermeture du canal par IBM MQ , en fonction de la valeur d'OCSPAuthentication.