![[AIX, Linux, Windows]](ngalw.gif)
Utilizzo di OCSP (Online Certificate Status Protocol)
IBM® MQ determina quale responder OCSP (Online Certificate Status Protocol) utilizzare e gestisce la risposta ricevuta. Potrebbero essere necessarie delle azioni per rendere accessibile il responder OCSP.
Piattaforma | Supporto |
---|---|
![]() |
IBM MQ TLS supporta i controlli per i certificati revocati utilizzando OCSP o utilizzando i CRL e gli ARL sui server LDAP, con OCSP come metodo preferito. IBM MQ classes for Java non può utilizzare le informazioni OCSP in un file tabella di definizione del canale client. Tuttavia, è possibile configurare OCSP come descritto in Certificati revocati e OCSP in IBM Documentation. |
![]() |
IBM MQ TLS supporta i controlli per i certificati revocati utilizzando i CRL e gli ARL solo sui server LDAP. I sistemi IBM MQ for z/OS non possono utilizzare OCSP. |
![]() |
IBM MQ TLS supporta i controlli per i certificati revocati utilizzando i CRL e gli ARL solo sui server LDAP. I sistemi IBM MQ for IBM i non possono utilizzare OCSP. |
- Utilizzare l'estensione del certificato AuthorityInfoAccess (AIA) nel certificato da controllare.
- Utilizzare un URL specificato in un oggetto delle informazioni di autenticazione o specificato da un'applicazione client.
Un URL specificato in un oggetto delle informazioni di autenticazione o da un'applicazione client è prioritario rispetto a un URL in un'estensione del certificato AIA.
L'URL del responder OCSP potrebbe trovarsi dietro un firewall; in questo caso, riconfigurare il firewall in modo da consentire l'accesso al responder OCSP o impostare un server proxy OCSP. Specificare il nome del server proxy utilizzando l'attributo SSLHTTPProxyName nella stanza SSL. Sui sistemi client, è possibile anche specificare il nome del server proxy utilizzando la variabile d'ambiente MQSSLPROXY.
Se non si è interessati se i certificati TLS sono revocati, forse perché si è in esecuzione in un ambiente di test, è possibile impostare OCSPCheckExtensions su NO nella stanza SSL. Se si imposta questa variabile, viene ignorata qualsiasi estensione del certificato AIA. Questa soluzione non è probabilmente accettabile in un ambiente di produzione, dove non si desidera consentire l'accesso ad utenti che presentano certificati revocati.
- Valido
- Il certificato è valido.
- Revocato
- Il certificato è revocato.
- Sconosciuto
- Questo risultato può essere emesso per uno dei seguenti motivi:
- IBM MQ non può accedere al responder OCSP.
- Il responder OCSP ha inviato una risposta, ma IBM MQ non può verificare la firma digitale della risposta.
- Il responder OCSP ha inviato una risposta che indica che non dispone di dati di revoca per il certificato.
Per impostazione predefinita, IBM MQ rifiuta una connessione se riceve una risposta OCSP di Sconosciuto e genera un messaggio di errore. È possibile modificare questo comportamento impostando l'attributo OCSPAuthentication . Si trova nella sezione SSL del file qm.ini per i sistemi AIX and Linux , nel registro Windows o nella stanza SSL del file di configurazione client. Può essere impostato utilizzando IBM MQ Explorer sulle piattaforme applicabili.
Risultato OCSP Sconosciuto
Se IBM MQ riceve un risultato OCSP Sconosciuto, il suo funzionamento dipende dall'impostazione dell'attributo OCSPAuthentication . Per i gestori code, questo attributo si trova nella stanza SSL del file qm.ini per i sistemi AIX and Linux o il Registro di sistema Windows e può essere impostato utilizzando IBM MQ Explorer. Per i client, è contenuto nella stanza SSL del file di configurazione client.
Se si riceve un risultato di Sconosciuto e OCSPAuthentication è impostato su REQUIRED (il valore predefinito), IBM MQ rifiuta la connessione ed emette un messaggio di errore di tipo AMQ9716. Se i messaggi di evento SSL del gestore code sono abilitati, un messaggio di evento SSL di tipoMQRC_CHANNEL_SSL_ERRORcon ReasonQualifier impostato suMQRQ_SSL_HANDSHAKE_ERRORviene generato.
Se si riceve un risultato Sconosciuto e OCSPAuthentication è impostato su FACOLTATIVO, IBM MQ consente l'avvio del canale SSL e non vengono generate avvertenze o messaggi di evento SSL.
Se si riceve un risultato Sconosciuto e OCSPAuthentication è impostato su WARN, il canale SSL viene avviato ma IBM MQ emette un messaggio di avviso di tipo AMQ9717 nel log degli errori. Se i messaggi di evento SSL del gestore code sono abilitati, un messaggio di evento SSL di tipoMQRC_CHANNEL_SSL_WARNINGcon ReasonQualifier impostato suMQRQ_SSL_UNKNOWN_REVOCATIONviene generato.
Firma digitale delle risposte OCSP
Un responder OCSP può firmare le proprie risposte in uno dei seguenti tre modi. Il responder informa l'utente del metodo utilizzato.- La risposta OCSP può essere firmata digitalmente utilizzando lo stesso certificato CA che ha emesso il certificato che si sta controllando. In questo caso, non è necessario impostare altri certificati; i passi già completati per stabilire la connettività SSL sono sufficienti per verificare la risposta OCSP.
- La risposta OCSP può essere firmata digitalmente utilizzando un altro certificato firmato dalla stessa (CA) che ha emesso il certificato che si sta controllando. In questo caso, il certificato di firma viene emesso insieme alla risposta OCSP. Il certificato emesso dal responder OCSP deve avere una Extended Key Usage Extension impostata su id-kp-OCSPSigning per poter essere considerato sicuro per questo scopo. Poiché la risposta OCSP viene emessa con il certificato che l'ha firmata (e tale certificato viene firmato da una CA già considerata sicura per la connettività SSL), non sono richieste impostazioni aggiuntive per il certificato.
- La risposta OCSP può essere firmata digitalmente utilizzando un altro certificato non correlato direttamente al certificato che si sta controllando. In questo caso, la risposta OCSP viene firmata da un certificato emesso dallo stesso responder OCSP. È necessario aggiungere una copia del certificato del responder OCSP al database delle chiavi del client o del gestore code che esegue la verifica OCSP. Consultare Aggiunta di un certificato CA (o la parte CA di un certificato autofirmato) in un repository delle chiavi in IBM Documentation. Quando viene aggiunto un certificato CA, per impostazione predefinita viene aggiunto come root sicura, che rappresenta l'impostazione richiesta in questo contesto. Se questo certificato non viene aggiunto, IBM MQ non è in grado di verificare la firma digitale sulla risposta OCSP e il controllo OCSP risulta in un risultato Sconosciuto , che potrebbe causare la chiusura del canale da parte di IBM MQ , in base al valore di OCSPAuthentication.