![[AIX, Linux, Windows]](ngalw.gif)
Trabalhando com Online Certificate Status Protocol (OCSP)
IBM® MQ determina qual o Responder de Certificado de Status do Certificado Online (OCSP) para uso e trata da resposta recebida. Pode ser necessário concluir etapas para tornar o respondente do OCSP acessível.
Plataforma | Suporte |
---|---|
![]() |
IBM MQ O TLS suporta verificações de certificados revogados usando o OCSP, ou usando CRLs e ARLs em servidores LDAP, com o OCSP como método preferencial. IBM MQ classes for Java não pode usar as informações do OCSP em um arquivo de tabela de definição de canal do cliente. No entanto, é possível configurar o OCSP conforme descrito em Certificados Revisados e OCSP. |
![]() |
IBM MQ O TLS suporta verificações de certificados revogados usando CRLs e ARLs em servidores LDAP apenas. IBM MQ for z/OS sistemas não podem usar o OCSP. |
![]() |
IBM MQ O TLS suporta verificações de certificados revogados usando CRLs e ARLs em servidores LDAP apenas. IBM MQ for IBM i sistemas não podem usar o OCSP. |
- Usando a extensão do certificado AuthorityInfoAccess (AIA) no certificado a ser verificado.
- Usando uma URL especificada em um objeto de informação de autenticação ou especificada por um aplicativo cliente.
Uma URL especificada em um objeto de informações de autenticação ou por um aplicativo cliente que tem prioridade sobre uma URL em uma extensão de certificado de AIA.
A URL do respondente do OCSP pode ser barrado por um firewall, caso isso aconteça, reconfigure o firewall para que o respondente do OCSP possa ser acessado ou configure um servidor proxy do OCSP. Especifique o nome do servidor proxy usando a variável SSLHTTPProxyName na sub-rotina SSL. Nos sistemas do cliente, também é possível especificar o nome do servidor proxy usando a variável de ambiente MQSSLPROXY.
Se você não estiver preocupado se os certificados TLS foram revogados, talvez porque esteja executando em um ambiente de teste, será possível configurar OCSPCheckExtensions para NO na sub-rotina SSL. Se você configurar essa variável, qualquer extensão de certificado AIA será ignorada. É possível que essa solução não seja aceita em um ambiente de produção, no qual você pode querer não permitir o acesso de usuários que possuírem certificados revogados.
- Bom
- O certificado é válido.
- Revogado
- O certificado é revogado.
- Desconhecido
- Esse resultado pode surgir por um dos três motivos:
- IBM MQ não pode acessar o Responder do OCSP.
- O Responder do OCSP enviou uma resposta, mas IBM MQ não pode verificar a assinatura digital da resposta.
- O respondente do OCSP enviou uma resposta indicando que ele não possui nenhum dado de revogação para o certificado.
Por padrão, IBM MQ rejeita uma conexão se ele receber uma resposta do OCSP de Unknown, e emite uma mensagem de erro. É possível alterar esse comportamento configurando o atributo OCSPAuthentication. Isto é armazenado na sub-rotina SSL do arquivo qm.ini para sistemas AIX and Linux, o registro WebSphere® ou a sub-rotina SSL do arquivo de configuração do cliente. Ele pode ser configurado usando o IBM MQ Explorer em plataformas aplicáveis.
Resultado do OCSP Desconhecido
Se IBM MQ receber um resultado do OCSP de Desconhecido, seu comportamento depende da configuração do atributo OCSPAuthentication. Para os gerenciadores de filas, este atributo é realizado na sub-rotina SSL do arquivo qm.ini para os sistemas AIX and Linux, ou o registro Windows e pode ser configurado usando o IBM MQ Explorer. Para os clientes, isso é mantido na sub-rotina SSL do arquivo de configuração do cliente.
Se um resultado de Desconhecido for recebido e o OCSPAuthentication for configurado como REQUERIDO (o valor padrão), IBM MQ rejeita a conexão e emite uma mensagem de erro do tipo AMQ9716. Se as mensagens de evento do SSL do gerenciador de filas estiverem ativadas, uma mensagem de evento SSL do tipo MQRC_CHANNEL_SSL_ERROR com ReasonQualifier configurado para MQRQ_SSL_HANDSHAKE_ERROR é gerada.
Se um resultado de Desconhecido for recebido e o OCSPAuthentication for configurado como OPCIONAL, IBM MQ permite que o canal SSL inicie e não sejam gerados avisos ou mensagens de eventos SSL.
Se um resultado de Desconhecido for recebido e OCSPAuthentication for configurado como WARN, o canal SSL inicia mas IBM MQ emite uma mensagem de aviso do tipo AMQ9717 no log de erro. Se as mensagens de evento do SSL do gerenciador de filas estiverem ativadas, uma mensagem de evento SSL do tipo MQRC_CHANNEL_SSL_WARNING com ReasonQualifier configurado para MQRQ_SSL_UNKNOWN_REVOCATION é gerada.
Assinatura Digital das Respostas do OCSP
Um respondente do OCSP pode assinar suas respostas de uma das três formas. Seu respondente informará qual método é usado.- A resposta do OCSP pode ser assinada digitalmente usando o mesmo certificado de CA que emitiu o certificado que estiver verificando. Nesse caso, não é necessário configurar nenhum certificado adicional; as etapas já concluídas para estabelecer a conectividade SSL são suficientes para verificar a resposta do OCSP.
- A resposta do OCSP pode ser assinada digitalmente usando outro certificado assinado pela mesma CA que emitiu o certificado que estiver verificando. O certificado de assinatura é enviado junto com a resposta do OCSP nesse caso. O certificado enviado a partir do respondente do OCSP deve ter uma Extensão de Uso de Chave Estendida configurada para id-kp-OCSPSigning para que ele possa ser confiável para esse propósito. Como a resposta do OCSP é enviada com o certificado que a assinou (certificado este que é assinado por uma CA que já é confiável para a conectividade do SSL), nenhuma configuração de certificado adicional é necessária.
- A resposta do OCSP pode ser assinada digitalmente usando outro certificado que não esteja relacionado diretamente ao certificado que estiver verificando. Nesse caso, a Resposta do OCSP é assinada por um certificado emitido pelo próprio respondente do OCSP. Deve-se incluir uma cópia do certificado do respondente do OCSP no banco de dados de chaves do cliente ou gerenciador de filas que executa a verificação de OCSP. Veja Adicionando um certificado CA (ou a parte CA de um certificado auto-assinado) em um repositório chave. Quando um certificado de CA é incluído, por padrão, ele é incluído como uma raiz confiável, que é a configuração necessária nesse contexto. Se este certificado não for adicionado, IBM MQ não pode verificar a assinatura digital na resposta do OCSP e a verificação do OCSP resulta em um resultado Unknown , que pode causar IBM MQ fechar o canal, dependendo do valor de OCSPAuthentication.