[AIX, Linux, Windows]

Praca z protokołem OCSP (Online Certificate Status Protocol)

Produkt IBM® MQ określa, który program odpowiadający OCSP (Online Certificate Status Protocol) ma być używany, a także obsługuje otrzymaną odpowiedź. Udostępnienie programu odpowiadającego OCSP może wymagać wykonania odpowiednich czynności.

Obiekt informacji uwierzytelniającej zawiera informację uwierzytelniającą, która jest używana podczas sprawdzania, czy certyfikat TLS został odwołany.
Uwaga: Te informacje odnoszą się tylko do systemów IBM MQ for AIX®, Linux®, and Windows . W poniższej tabeli przedstawiono obsługę informacji uwierzytelniających w produkcie IBM MQ TLS dla różnych platform:
Tabela 1. Jak program IBM MQ TLS obsługuje informacje uwierzytelniania na różnych platformach
Platforma Obsługa
[AIX, Linux, Windows]IBM MQ for AIX, Linux, and Windows Program IBM MQ TLS obsługuje sprawdzanie unieważnionych certyfikatów przy użyciu protokołu OCSP lub przy użyciu list CRL i ARL na serwerach LDAP, przy czym protokół OCSP jest metodą preferowaną. Produkt IBM MQ classes for Java nie może używać informacji OCSP w pliku tabeli definicji kanału klienta. Można jednak skonfigurować protokół OCSP w sposób opisany w sekcji Revoked certificates and OCSP(Odwołane certyfikaty i OCSP).
[z/OS]IBM MQ for z/OS® Program IBM MQ TLS obsługuje sprawdzanie unieważnionych certyfikatów przy użyciu list CRL i ARL tylko na serwerach LDAP. Systemy IBM MQ for z/OS nie mogą używać protokołu OCSP.
[IBM i]IBM MQ for IBM i Program IBM MQ TLS obsługuje sprawdzanie unieważnionych certyfikatów przy użyciu list CRL i ARL tylko na serwerach LDAP. Systemy IBM MQ for IBM i nie mogą używać protokołu OCSP.
Aby sprawdzić status odwołania certyfikatu cyfrowego za pomocą protokołu OCSP, IBM MQ określa, który moduł odpowiadający OCSP ma nawiązać kontakt na dwa sposoby:
  • Przy użyciu rozszerzenia certyfikatu AIA w certyfikacie, który ma zostać sprawdzony.
  • Przy użyciu adresu URL określonego w obiekcie informacji uwierzytelniającej lub przez aplikację kliencką.

Adres URL określony w obiekcie informacji uwierzytelniającej lub przez aplikację kliencką ma priorytet nad adresem URL w rozszerzeniu certyfikatu AIA.

Adres URL programu odpowiadającego OCSP może wskazywać lokalizację znajdującą się poza firewallem. W takim przypadku należy zmienić konfigurację firewalla, aby program odpowiadający OCSP był dostępny, lub skonfigurować serwer proxy OCSP. Należy określić nazwę serwera proxy przy użyciu zmiennej SSLHTTPProxyName w sekcji SSL. W systemach klienckich nazwę serwera proxy można także określić, używając zmiennej środowiskowej MQSSLPROXY.

Jeśli nie jest ważne, czy certyfikaty TLS zostały odwołane (na przykład w przypadku środowiska testowego), można ustawić zmienną OCSPCheckExtensions na wartość NO w sekcji SSL. Po ustawieniu tej zmiennej wszystkie rozszerzenia certyfikatu AIA są ignorowane. To rozwiązanie raczej nie jest dopuszczalne w środowisku produkcyjnym, w którym zazwyczaj nie umożliwia się dostępu użytkownikom przedstawiającym odwołane certyfikaty.

Wywołanie mające na celu uzyskanie dostępu do programu odpowiadającego OCSP może zwrócić jeden z następujących trzech wyników:
Dobry
Certyfikat jest poprawny.
Odwołany
Certyfikat jest odwołany.
Nieznany
Powodem zwrócenia tego wyniku może być jedna z trzech przyczyn:
  • Produkt IBM MQ nie może uzyskać dostępu do modułu odpowiadającego OCSP.
  • Responder OCSP wysłał odpowiedź, ale program IBM MQ nie może zweryfikować podpisu cyfrowego odpowiedzi.
  • Program odpowiadający OCSP wysłał odpowiedź, która wskazuje, że nie ma danych odwołania dla certyfikatu.

Domyślnie program IBM MQ odrzuca połączenie, jeśli odbiera odpowiedź OCSP Nieznanyi wysyła komunikat o błędzie. Można zmienić to zachowanie, ustawiając atrybut OCSPAuthentication. Znajduje się on w sekcji SSL pliku qm.ini w systemach AIX and Linux, w rejestrze produktu WebSphere® lub w sekcji SSL pliku konfiguracyjnego klienta. Można go ustawić za pomocą IBM MQ Explorer na odpowiednich platformach.

Wynik OCSP Nieznany

Jeśli program IBM MQ otrzyma wynik OCSP Nieznany, jego zachowanie jest zależne od ustawienia atrybutu OCSPAuthentication. W przypadku menedżerów kolejek ten atrybut znajduje się w sekcji SSL pliku qm.ini w systemach AIX and Linux lub w rejestrze Windows i można go ustawić przy użyciu programu IBM MQ Explorer. W przypadku klientów ten atrybut znajduje się w sekcji SSL pliku konfiguracyjnego klienta.

Jeśli zostanie odebrany wynik Nieznany i atrybut OCSPAuthentication ma ustawioną wartość REQUIRED (wartość domyślna), produkt IBM MQ odrzuci połączenie i wysyła komunikat o błędzie typu AMQ9716. Jeśli komunikaty zdarzeń SSL w menedżerze kolejek są włączone, generowany jest komunikat zdarzenia SSL typu MQRC_CHANNEL_SSL_ERROR z opcją ReasonQualifier ustawioną na wartość MQRQ_SSL_HANDSHAKE_ERROR.

Jeśli zostanie odebrany wynik Nieznany i atrybut OCSPAuthentication ma wartość OPTIONAL, produkt IBM MQ zezwoli na uruchomienie kanału SSL i nie zostaną wygenerowane ostrzeżenia ani komunikaty zdarzeń SSL.

Jeśli zostanie odebrany wynik Nieznany , a parametr OCSPAuthentication ma ustawioną wartość WARN, kanał SSL zostanie uruchomiony, ale program IBM MQ wysyła komunikat ostrzegawczy typu AMQ9717 w dzienniku błędów. Jeśli komunikaty zdarzeń SSL w menedżerze kolejek są włączone, generowany jest komunikat zdarzenia SSL typu MQRC_CHANNEL_SSL_WARNING z opcją ReasonQualifier ustawioną na wartość MQRQ_SSL_UNKNOWN_REVOCATION.

Podpisywanie cyfrowe odpowiedzi OCSP

Program odpowiadający OCSP może podpisać swoje odpowiedzi, używając jednej z trzech metod. Program odpowiadający informuje o użytej metodzie.
  • Odpowiedź OCSP może być podpisana cyfrowo przy użyciu tego samego certyfikatu CA, przy użyciu którego wystawiono sprawdzany certyfikat. W tym przypadku konfigurowanie dodatkowego certyfikatu nie jest wymagane. Kroki wykonane w celu nawiązania połączenia SSL wystarczają do sprawdzenia odpowiedzi OCSP.
  • Odpowiedź OCSP może być podpisana cyfrowo przy użyciu innego certyfikatu podpisanego przez ten sam ośrodek CA, który wystawił sprawdzany certyfikat. Certyfikat podpisujący jest w tym przypadku wprowadzany razem z odpowiedzią OCSP. Certyfikat wprowadzony przez program odpowiadający OCSP musi mieć opcję Extended Key Usage Extension (Rozszerzenie rozszerzonego użycia klucza) ustawioną na wartość id-kp-OCSPSigning, co umożliwia traktowanie go jako zaufanego na potrzeby tego zastosowania. Ponieważ odpowiedź OCSP jest wprowadzana z certyfikatem, przy użyciu którego ją podpisano (i ten certyfikat jest podpisany przez ośrodek CA, który jest zaufany na potrzeby połączenia SSL), nie jest wymagana dodatkowa konfiguracja certyfikatu.
  • Odpowiedź OCSP może być podpisana cyfrowo przy użyciu innego certyfikatu, który nie jest bezpośrednio powiązany ze sprawdzanym certyfikatem. W takim przypadku odpowiedź OCSP jest podpisana przy użyciu certyfikatu wystawionego przez sam program odpowiadający OCSP. Należy dodać kopię certyfikatu programu odpowiadającego OCSP do bazy danych kluczy klienta lub menedżera kolejek, który wykonuje operację sprawdzania OCSP. Patrz Dodawanie certyfikatu ośrodka CA (lub części ośrodka CA certyfikatu samopodpisanego) do repozytorium kluczy. Certyfikat CA jest domyślnie dodawany jako zaufany certyfikat główny, co jest ustawieniem wymaganym w tym kontekście. Jeśli ten certyfikat nie zostanie dodany, program IBM MQ nie będzie mógł zweryfikować podpisu cyfrowego w odpowiedzi OCSP, a wyniki sprawdzenia OCSP są wynikiem Nieznany , co może spowodować zamknięcie kanału przez program IBM MQ w zależności od wartości uwierzytelniania OCSPAuthentication.