![[AIX, Linux, Windows]](ngalw.gif)
Práce s protokolem OCSP (Online Certificate Status Protocol)
IBM® MQ určuje, který odpovídací modul protokolu OCSP (Online Certificate Status Protocol) má být použit, a zpracovává přijatou odezvu. V některých případech je nutné provést kroky, kterými zpřístupníte odpovídací modul OCSP.
Platforma | Podpora |
---|---|
![]() |
Produkt IBM MQ TLS podporuje kontrolu zrušených certifikátů pomocí protokolu OCSP nebo použití seznamů CRL a ARL na serverech LDAP s metodou OCSP jako upřednostňovanou metodou. Produkt IBM MQ classes for Java nemůže použít informace OCSP v souboru s tabulkou definic kanálů klienta. Nicméně můžete OCSP nakonfigurovat podle popisu uvedeného v tématu Zrušené certifikáty a OCSP v produktu IBM Documentation. |
![]() |
Produkt IBM MQ TLS podporuje kontrolu zrušených certifikátů pouze pomocí seznamů CRL a ARL na serverech LDAP. Systémy IBM MQ for z/OS nemohou protokol OCSP používat. |
![]() |
Produkt IBM MQ TLS podporuje kontrolu zrušených certifikátů pouze pomocí seznamů CRL a ARL na serverech LDAP. Systémy IBM MQ for IBM i nemohou protokol OCSP používat. |
- pomocí rozšíření certifikátu AIA (AuthorityInfoAccess) v kontrolovaném certifikátu;
- pomocí adresy URL uvedené v objektu ověřovacích informací nebo určené aplikací klienta.
Adresa URL uvedená v objektu ověřovacích informací nebo v aplikaci klienta má přednost před adresou URL v rozšíření certifikátu AIA.
Adresa URL odpovídacího modulu OCSP se může nacházet za bránou firewall – v takovém případě změňte konfiguraci brány firewall tak, aby bylo možné přistupovat k odpovídacímu modulu OCSP, nebo nastavte server proxy OCSP. Název serveru proxy zadejte pomocí proměnné SSLHTTPProxyName v sekci SSL. V klientských systémech můžete název serveru proxy zadat také pomocí proměnné prostředí MQSSLPROXY.
Pokud vám nezáleží na tom, zda jsou certifikáty TLS zrušené, například proto, že pracujete v testovacím prostředí, můžete nastavit proměnnou OCSPCheckExtensions v sekci SSL na hodnotu NO. Pokud nastavíte tuto proměnnou, bude ignorováno rozšíření certifikátu AIA. V provozním prostředí, kde zřejmě nebudete chtít umožnit přístup uživatelům předkládajícím zrušené certifikáty, toto řešení pravděpodobně nebude přijatelné.
- Platný
- Certifikát je platný.
- Zrušený
- Certifikát je zrušený.
- Neznámý
- Tento výsledek se může vyskytnout ze tří různých příčin:
- Produkt IBM MQ nemůže přistupovat k odpovídacímu modulu OCSP.
- Odpovídací modul OCSP odeslal odezvu, ale produkt IBM MQ nemůže ověřit digitální podpis odpovědi.
- Odpovídací modul OCSP odeslal odezvu s informací, že nemá k dispozici žádná data o odvolání daného certifikátu.
Ve výchozím nastavení IBM MQ odmítne připojení, pokud přijme odezvu OCSP Neznámýa vydá chybovou zprávu. Toto chování lze změnit nastavením atributu OCSPAuthentication. Ten je umístěn v sekci SSL souboru qm.ini pro systémy AIX and Linux, v registru WebSphere® nebo v sekci SSL konfiguračního souboru klienta. Lze ji nastavit pomocí produktu IBM MQ Explorer na příslušných platformách.
Výsledek protokolu OCSP Neznámý
Pokud produkt IBM MQ obdrží výsledek protokolu OCSP Neznámý, bude jeho chování záviset na nastavení atributu OCSPAuthentication. Pro správce front je tento atribut uložen v sekci SSL souboru qm.ini pro systémy AIX and Linux nebo v registru Windows a lze jej nastavit pomocí IBM MQ Explorer. U klientů je umístěn v sekci SSL konfiguračního souboru klienta.
Je-li přijat výsledek Neznámý a atribut OCSPAuthentication je nastaven na hodnotu REQUIRED (výchozí hodnota), produkt IBM MQ odmítne připojení a vydá chybovou zprávu typu AMQ9716. Jsou-li povoleny zprávy o událostech správce front SSL, dojde k vygenerování zprávy o události SSL typu MQRC_CHANNEL_SSL_ERROR s atributem ReasonQualifier nastaveným na hodnotu MQRQ_SSL_HANDSHAKE_ERROR.
Je-li přijat výsledek Neznámý a atribut OCSPAuthentication je nastaven na VOLITELNÝ, IBM MQ umožňuje spuštění kanálu SSL a nejsou generována žádná varování nebo zprávy událostí SSL.
Je-li přijat výsledek Neznámý a atribut OCSPAuthentication je nastaven na hodnotu WARN, kanál SSL se spustí, ale produkt IBM MQ vydá varovnou zprávu typu AMQ9717 v protokolu chyb. Jsou-li povoleny zprávy o událostech správce front SSL, dojde k vygenerování zprávy o události SSL typu MQRC_CHANNEL_SSL_WARNING s atributem ReasonQualifier nastaveným na hodnotu MQRQ_SSL_UNKNOWN_REVOCATION.
Digitální podepisování odezev OCSP
Odpovídací modul OCSP může své odezvy podepisovat třemi různými způsoby. Váš odpovídací modul vás informuje o tom, která metoda je použita.- Odezva OCSP může být digitálně podepsána s použitím téhož certifikátu CA, který byl použit k vystavení kontrolovaného certifikátu. V takovém případě nepotřebujete nastavovat žádný další certifikát. Kroky, které jste již provedli při vytváření spojení SSL, postačují k ověření odezvy OCSP.
- Odezva OCSP může být digitálně podepsána s použitím jiného certifikátu podepsaného stejnou CA, která vydala kontrolovaný certifikát. Podpisový certifikát je v tomto případě přenášen v jednom toku s odezvou OCSP. Certifikát přenášený tokem z odpovídacího modulu OCSP musí mít nastavené rozšíření použití rozšířeného klíče na hodnotu id-kp-OCSPSigning, aby mu bylo možné pro tento účel důvěřovat. Jelikož je odezva OCSP přenášena společně s certifikátem použitým k jejímu podepsání (a tento certifikát je podepsán CA, která je již pro účel propojení SSL považována za důvěryhodnou), není třeba provádět žádné další nastavování certifikátů.
- Odezva OCSP může být digitálně podepsána s použitím jiného certifikátu, který přímo nesouvisí s kontrolovaným certifikátem. V takovém případě je odezva OCSP podepsána certifikátem vydaným samotným odpovídacím modulem OCSP. Kopii certifikátu odpovídacího modulu OCSP je nutné přidat do databáze klíčů klienta nebo správce front, který provádí kontrolu OCSP. Další informace naleznete v tématu Přidání certifikátu CA (nebo části certifikátu podepsaného držitelem CA) do úložiště klíčů v příručce IBM Documentation. Přidávaný certifikát CA je standardně přidán jako důvěryhodný kořenový certifikát, což je v tomto kontextu povinné nastavení. Není-li tento certifikát přidán, produkt IBM MQ nemůže ověřit digitální podpis v odezvě OCSP a kontrola OCSP má za následek výsledek Neznámý výsledku, který může způsobit zavření kanálu produktem IBM MQ v závislosti na hodnotě prvku OCSPAuthentication.