[AIX, Linux, Windows]

OCSP(Online Certificate Status Protocol)를 사용하여 작업

IBM® MQ 는 사용할 OCSP (Online Certificate Status Protocol) 응답자를 판별하고 수신된 응답을 처리합니다. OCSP 응답자에 액세스할 수 있도록 하는 단계를 수행해야 할 수도 있습니다.

인증 정보 오브젝트에는 TLS 인증서가 폐기되었는지 여부를 검사할 때 사용되는 인증 정보가 포함됩니다.
주: 이 정보는 IBM MQ for AIX®, Linux®, and Windows 시스템에만 적용됩니다. 다음 표는 여러 플랫폼에 대한 IBM MQ TLS 인증 정보 지원을 표시합니다.
표 1. IBM MQ TLS가 다른 플랫폼에서 인증 정보를 지원하는 방법
플랫폼 지원
[AIX, Linux, Windows]IBM MQ for AIX, Linux, and Windows IBM MQ TLS 지원은 OCSP를 사용하거나 LDAP 서버에서 CRL및 ARL을 사용하여 폐기된 인증서를 검사하며, 선호하는 방법은 OCSP입니다. IBM MQ classes for Java 는 클라이언트 채널 정의 테이블 파일에서 OCSP 정보를 사용할 수 없습니다. 그러나 IBM Documentation폐기된 인증서 및 OCSP 에 설명된 대로 OCSP를 구성할 수 있습니다.
[z/OS]IBM MQ for z/OS® IBM MQ TLS 지원은 LDAP 서버에서만 CRL및 ARL을 사용하여 취소된 인증서를 검사합니다. IBM MQ for z/OS 시스템은 OCSP를 사용할 수 없습니다.
[IBM i]IBM MQ for IBM i IBM MQ TLS 지원은 LDAP 서버에서만 CRL및 ARL을 사용하여 취소된 인증서를 검사합니다. IBM MQ for IBM i 시스템은 OCSP를 사용할 수 없습니다.
OCSP를 사용하여 디지털 인증서의 폐기 상태를 확인하기 위해 IBM MQ 는 다음 두 가지 방법 중 하나로 접속할 OCSP 응답자를 판별합니다.
  • 점검할 인증서의 AIA(AuthorityInfoAccess) 인증서 확장자 사용
  • 클라이언트 애플리케이션에 의해 지정되거나 인증 정보 오브젝트에 지정된 URL 사용

인증 정보 오브젝트 또는 클라이언트 애플리케이션에서 지정한 URL은 AIA 인증서 확장자에 있는 URL보다 우선합니다.

OCSP 응답자의 URL은 방화벽보다 우선순위가 낮습니다. 이런 경우 OCSP 응답자가 OCSP 프록시 서버에 액세스 또는 설정할 수 있도록 방화벽을 다시 구성하십시오. SSL 스탠자에서 SSLHTTPProxyName 속성을 사용하여 프록시 서버의 이름을 지정하십시오. 클라이언트 시스템에서 환경 변수 MQSSLPROXY를 사용하여 프록시 서버의 이름을 지정할 수도 있습니다.

테스트 환경에서 실행 중이기 때문에 TLS 인증서가 취소되는지 여부가 중요하지 않은 경우 SSL 스탠자에서 OCSPCheckExtensionsNO 로 설정할 수 있습니다. 이 변수를 설정하면 모든 AIA 인증서 확장자가 무시됩니다. 이 솔루션은 프로덕션 환경에서는 사용할 수 없습니다. 여기에서는 폐기된 인증서를 제시하는 사용자에게 액세스를 허용하지 않습니다.

OCSP 응답자에게 액세스하는 호출에서는 다음 세 가지 결과 중 하나를 리턴할 수 있습니다.
좋음
인증서가 올바릅니다.
폐기됨
인증서가 폐기되었습니다.
알 수 없음
이 결과는 세 가지 중 하나의 이유로 발생할 수 있습니다.
  • IBM MQ 가 OCSP 응답자에 액세스할 수 없습니다.
  • OCSP 응답자가 응답을 보냈지만 IBM MQ 가 응답의 디지털 서명을 확인할 수 없습니다.
  • OCSP 응답자가 인증서에 대한 폐기 데이터를 가지고 있지 않음을 표시하는 응답을 송신했습니다.

기본적으로 IBM MQ알 수 없음의 OCSP 응답을 수신하는 경우 연결을 거부하고 오류 메시지를 발행합니다. OCSPAuthentication 속성을 설정하여 이 동작을 변경할 수 있습니다. 이는 AIX and Linux 시스템의 경우 qm.ini 파일의 SSL 스탠자, Windows 레지스트리 또는 클라이언트 구성 파일의 SSL 스탠자에 보유됩니다. 적용 가능한 플랫폼에서 IBM MQ Explorer 를 사용하여 설정할 수 있습니다.

OCSP 결과 알 수 없음

IBM MQ알 수 없음의 OCSP 결과를 수신하는 경우 해당 동작은 OCSPAuthentication 속성의 설정에 따라 다릅니다. 큐 관리자의 경우, 이 속성은 AIX and Linux 시스템의 경우 qm.ini 파일의 SSL 스탠자 또는 Windows 레지스트리에 보유되며 IBM MQ Explorer를 사용하여 설정할 수 있습니다. 클라이언트의 경우, 이 속성은 클라이언트 구성 파일의 SSL 스탠자에 보유됩니다.

알 수 없음 결과가 수신되고 OCSPAuthenticationREQUIRED (기본값) 로 설정되면 IBM MQ 는 연결을 거부하고 AMQ9716유형의 오류 메시지를 발행합니다. 큐 관리자 SSL 이벤트 메시지가 사용 가능한 경우, 다음 유형의 SSL 이벤트 메시지MQRC_CHANNEL_SSL_ERRORReasonQualifier 가 다음으로 설정된 경우MQRQ_SSL_HANDSHAKE_ERROR생성됩니다.

알 수 없음 결과가 수신되고 OCSPAuthenticationOPTIONAL로 설정되면, IBM MQ 에서는 SSL 채널이 시작되고 경고 또는 SSL 이벤트 메시지가 생성되지 않습니다.

알 수 없음 결과를 수신하고 OCSPAuthenticationWARN으로 설정된 경우, SSL 채널이 시작되지만 IBM MQ 는 오류 로그에서 AMQ9717 유형의 경고 메시지를 발행합니다. 큐 관리자 SSL 이벤트 메시지가 사용 가능한 경우, 다음 유형의 SSL 이벤트 메시지MQRC_CHANNEL_SSL_WARNINGReasonQualifier 가 다음으로 설정된 경우MQRQ_SSL_UNKNOWN_REVOCATION생성됩니다.

OCSP 응답의 디지털 서명

OCSP 응답자는 세 가지 방식으로 응답에 사인할 수 있습니다. 응답자는 사용되는 방법에 대해 사용자에게 알려줍니다.
  • 검사 중인 인증서를 발행한 동일한 CA 인증서를 사용하여 OCSP 응답에 디지털로 서명할 수 있습니다. 이 경우 추가 인증서를 설정할 필요가 없습니다. SSL 연결을 설정하기 위해 이미 수행한 단계가 OCSP 응답을 확인하기에 충분합니다.
  • 검사 중인 인증서를 발행한 동일한 (CA)에서 사인한 다른 인증서를 사용하여 OCSP 응답에 디지털로 사인할 수 있습니다. 이 경우 인증서 사인은 OCSP 응답과 함께 플로우됩니다. OCSP 응답자에게서 플로우된 인증서에는 이 용도로 신뢰할 수 있도록 id-kp-OCSPSigning으로 설정된 확장 키 사용법 확장(Extended Key Usage Extension)이 있어야 합니다. OCSP 응답은 사인된 인증서와 함께 플로우되고(해당 인증서는 SSL 연결성에 대해 이미 신뢰받은 CA가 서명하였으므로) 추가로 인증서를 설정하지 않아도 됩니다.
  • 검사 중인 인증서와 직접 관련이 없는 다른 인증서를 사용하여 OCSP 응답에 디지털로 사인할 수 있습니다. 이 경우 OCSP 응답은 OCSP 응답자가 자체 발행한 인증서에서 사인합니다. OCSP 검사를 수행하는 클라이언트 또는 큐 관리자의 키 데이터베이스에 OCSP 응답자 인증서 사본을 추가해야 합니다. IBM Documentation키 저장소에 CA 인증서 (또는 자체 서명된 인증서의 CA 파트) 추가 를 참조하십시오. CA 인증서가 추가되면, 기본적으로 신뢰 루트로서 추가되며 이는 이 컨텍스트에서 필수 설정입니다. 이 인증서가 추가되지 않으면 IBM MQ 는 OCSP 응답에서 디지털 서명을 확인할 수 없으며 OCSP 검사 결과 알 수 없음 결과가 발생하며, 이로 인해 OCSPAuthentication의 값에 따라 IBM MQ 가 채널을 닫을 수 있습니다.