[AIX, Linux, Windows]

Trabalhando com Online Certificate Status Protocol (OCSP)

IBM® MQ determina qual o Responder de Certificado de Status do Certificado Online (OCSP) para uso e trata da resposta recebida. Pode ser necessário concluir etapas para tornar o respondente do OCSP acessível.

Um objeto de informações sobre autenticação contém informações sobre autenticação que são usadas ao verificar se um certificado TLS foi revogado ou não.
Nota: Esta informação aplica-se apenas aos sistemas IBM MQ for AIX®, Linux®, and Windows . A tabela a seguir mostra o suporte de informações de autenticação TLS IBM MQ para diferentes plataformas:
Tabela 1. Como o IBM MQ TLS suporta informações de autenticação em diferentes plataformas
Plataforma Suporte
[AIX, Linux, Windows]IBM MQ for AIX, Linux, and Windows IBM MQ O TLS suporta verificações de certificados revogados usando o OCSP, ou usando CRLs e ARLs em servidores LDAP, com o OCSP como método preferencial. IBM MQ classes for Java não pode usar as informações do OCSP em um arquivo de tabela de definição de canal do cliente. No entanto, é possível configurar o OCSP conforme descrito em Certificados Revisados e OCSP em IBM Documentation.
[z/OS]IBM MQ for z/OS® IBM MQ O TLS suporta verificações de certificados revogados usando CRLs e ARLs em servidores LDAP apenas. IBM MQ for z/OS sistemas não podem usar o OCSP.
[IBM i]IBM MQ for IBM i IBM MQ O TLS suporta verificações de certificados revogados usando CRLs e ARLs em servidores LDAP apenas. IBM MQ for IBM i sistemas não podem usar o OCSP.
Para verificar o status de revogação de um certificado digital usando o OCSP, IBM MQ determina qual OCSP responder entrar em contato de uma das duas maneiras:
  • Usando a extensão do certificado AuthorityInfoAccess (AIA) no certificado a ser verificado.
  • Usando uma URL especificada em um objeto de informação de autenticação ou especificada por um aplicativo cliente.

Uma URL especificada em um objeto de informações de autenticação ou por um aplicativo cliente que tem prioridade sobre uma URL em uma extensão de certificado de AIA.

A URL do respondente do OCSP pode ser barrado por um firewall, caso isso aconteça, reconfigure o firewall para que o respondente do OCSP possa ser acessado ou configure um servidor proxy do OCSP. Especifique o nome do servidor proxy usando o atributo SSLHTTPProxyName na sub-rotina SSL.. Em sistemas do cliente, também é possível especificar o nome do servidor proxy usando a variável de ambiente MQSSLPROXY

Se você não estiver preocupado se os certificados TLS serão revogados, talvez porque você esteja em execução em um ambiente de teste, será possível configurar OCSPCheckExtensions como NO na sub-rotina SSL Se você configurar essa variável, qualquer extensão de certificado AIA será ignorada. É possível que essa solução não seja aceita em um ambiente de produção, no qual você pode querer não permitir o acesso de usuários que possuírem certificados revogados.

A chamada por acesso ao respondente do OCSP pode retornar um dos seguintes três resultados:
Bom
O certificado é válido.
Revogado
O certificado é revogado.
Desconhecido
Esse resultado pode surgir por um dos três motivos:
  • IBM MQ não pode acessar o Responder do OCSP.
  • O Responder do OCSP enviou uma resposta, mas IBM MQ não pode verificar a assinatura digital da resposta.
  • O respondente do OCSP enviou uma resposta indicando que ele não possui nenhum dado de revogação para o certificado.

Por padrão, IBM MQ rejeita uma conexão se ele receber uma resposta do OCSP de Unknown, e emite uma mensagem de erro. É possível alterar esse comportamento configurando o atributo OCSPAuthentication .. Isso é retido na sub-rotina SSL do arquivo qm.ini para sistemas AIX and Linux , o registro Windows ou a sub-rotina SSL do arquivo de configuração do cliente Ele pode ser configurado usando o IBM MQ Explorer em plataformas aplicáveis

Resultado do OCSP Desconhecido

Se IBM MQ receber um resultado OCSP de Desconhecido, seu comportamento dependerá da configuração do atributo OCSPAuthentication . Para gerenciadores de filas, esse atributo é mantido na sub-rotina SSL do arquivo qm.ini para sistemas AIX and Linux ou o registro Windows e pode ser configurado usando o IBM MQ Explorer. Para os clientes, isso é mantido na sub-rotina SSL do arquivo de configuração do cliente.

Se um resultado Desconhecido for recebido e OCSPAuthentication for configurado como REQUIRED (o valor padrão), o IBM MQ rejeitará a conexão e emitirá uma mensagem de erro do tipo AMQ9716. Se as mensagens de evento SSL do gerenciador de filas estiverem ativadas, uma mensagem de evento SSL do tipoMQRC_CHANNEL_SSL_ERRORcom ReasonQualifier configurado comoMQRQ_SSL_HANDSHAKE_ERRORé gerado

Se um resultado de Desconhecido for recebido e OCSPAuthentication for configurado como OPCIONAL, IBM MQ permitirá que o canal SSL seja iniciado e nenhuma mensagem de aviso ou de evento SSL será gerada.

Se um resultado Desconhecido for recebido e OCSPAuthentication for configurado como WARN, o canal SSL será iniciado, porém o IBM MQ emitirá uma mensagem de aviso do tipo AMQ9717 no log de erro. Se as mensagens de evento SSL do gerenciador de filas estiverem ativadas, uma mensagem de evento SSL do tipoMQRC_CHANNEL_SSL_WARNINGcom ReasonQualifier configurado comoMQRQ_SSL_UNKNOWN_REVOCATIONé gerado

Assinatura Digital das Respostas do OCSP

Um respondente do OCSP pode assinar suas respostas de uma das três formas. Seu respondente informará qual método é usado.
  • A resposta do OCSP pode ser assinada digitalmente usando o mesmo certificado de CA que emitiu o certificado que estiver verificando. Nesse caso, não é necessário configurar nenhum certificado adicional; as etapas já concluídas para estabelecer a conectividade SSL são suficientes para verificar a resposta do OCSP.
  • A resposta do OCSP pode ser assinada digitalmente usando outro certificado assinado pela mesma CA que emitiu o certificado que estiver verificando. O certificado de assinatura é enviado junto com a resposta do OCSP nesse caso. O certificado enviado a partir do respondente do OCSP deve ter uma Extensão de Uso de Chave Estendida configurada para id-kp-OCSPSigning para que ele possa ser confiável para esse propósito. Como a resposta do OCSP é enviada com o certificado que a assinou (certificado este que é assinado por uma CA que já é confiável para a conectividade do SSL), nenhuma configuração de certificado adicional é necessária.
  • A resposta do OCSP pode ser assinada digitalmente usando outro certificado que não esteja relacionado diretamente ao certificado que estiver verificando. Nesse caso, a Resposta do OCSP é assinada por um certificado emitido pelo próprio respondente do OCSP. Deve-se incluir uma cópia do certificado do respondente do OCSP no banco de dados de chaves do cliente ou gerenciador de filas que executa a verificação de OCSP. Consulte Incluindo um certificado de autoridade de certificação (ou a parte da autoridade de certificação de um certificado autoassinado) em um repositório de chaves no IBM Documentation. Quando um certificado de CA é incluído, por padrão, ele é incluído como uma raiz confiável, que é a configuração necessária nesse contexto. Se este certificado não for adicionado, IBM MQ não pode verificar a assinatura digital na resposta do OCSP e a verificação do OCSP resulta em um resultado Unknown , que pode causar IBM MQ fechar o canal, dependendo do valor de OCSPAuthentication.