![[AIX, Linux, Windows]](ngalw.gif)
Cómo trabajar con el protocolo de estado de certificados en línea (OCSP)
IBM® MQ determina qué programa de respuesta OCSP (Online Certificate Status Protocol) se debe utilizar y maneja la respuesta recibida. Puede que tenga realizar pasos para que el canal de respuesta OCSP sea accesible.
Plataforma | Soporte |
---|---|
![]() |
IBM MQ TLS da soporte a comprobaciones para certificados revocados utilizando OCSP, o utilizando CRL y ARL en servidores LDAP, con OCSP como método preferido. IBM MQ classes for Java no puede utilizar la información de OCSP en un archivo de tabla de definición de canal de cliente. Sin embargo, puede configurar OCSP tal como se describe en Certificados revocados y OCSP en IBM Documentation. |
![]() |
IBM MQ TLS da soporte a comprobaciones para certificados revocados utilizando CRL y ARL sólo en servidores LDAP. Los sistemas IBM MQ for z/OS no pueden utilizar OCSP. |
![]() |
IBM MQ TLS da soporte a comprobaciones para certificados revocados utilizando CRL y ARL sólo en servidores LDAP. Los sistemas IBM MQ for IBM i no pueden utilizar OCSP. |
- Utilizando la extensión de certificados AuthorityInfoAccess (AIA) en el certificado que se debe comprobar.
- Utilizando un URL especificado en un objeto de información de autenticación o especificado mediante una aplicación cliente.
Un URL especificado en un objeto de información de autenticación o mediante una aplicación cliente tiene prioridad sobre un URL en una extensión de certificados AIA.
Puede que el URL del programa de respuesta OCSP tenga un cortafuegos; en este caso, vuelva a configurar el cortafuegos para que se pueda acceder al canal de respuesta OCSP o configure un servidor proxy OCSP. Especifique el nombre del servidor proxy utilizando el atributo SSLHTTPProxyName en la stanza SSL. En los sistemas cliente, también puede especificar el nombre del servidor proxy utilizando la variable de entorno MQSSLPROXY.
Si no le preocupa si los certificados TLS se revocan, quizás porque está ejecutando en un entorno de prueba, puede establecer OCSPCheckExtensions en NO en la stanza SSL. Si establece esta variable, se hace caso omiso de la extensión de certificados AIA. No es probable que esta solución se pueda aceptar en un entorno de producción, donde probablemente no desea permitir el acceso de los usuarios que presentan certificados revocados.
- Correcto
- El certificado es válido.
- Revocado
- El certificado se revoca.
- Desconocido
- Esta salida se puede deber a una de las tres razones siguientes:
- IBM MQ no puede acceder al programa de respuesta OCSP.
- El programa de respuesta OCSP ha enviado una respuesta, pero IBM MQ no puede verificar la firma digital de la respuesta.
- El programa de respuesta OCSP ha enviado una respuesta que indica que no hay datos de revocación para el certificado.
De forma predeterminada, IBM MQ rechaza una conexión si recibe una respuesta OCSP de Desconocidoy emite un mensaje de error. Puede cambiar este comportamiento estableciendo el atributo OCSPAuthentication . Esto se mantiene en la stanza SSL del archivo qm.ini para sistemas AIX and Linux , el registro de Windows o la stanza SSL del archivo de configuración de cliente. Se puede establecer utilizando IBM MQ Explorer en las plataformas aplicables.
Salida OCSP Desconocido
Si IBM MQ recibe una salida OCSP de Desconocido, su comportamiento depende del valor del atributo OCSPAuthentication . Para los gestores de colas, este atributo se mantiene en la stanza SSL del archivo qm.ini para sistemas AIX and Linux , o el registro Windows , y se puede establecer utilizando IBM MQ Explorer. Para clientes, se mantiene en la stanza SSL del archivo de configuración cliente.
Si se recibe un resultado de Desconocido y OCSPAuthentication se establece en REQUIRED (el valor predeterminado), IBM MQ rechaza la conexión y emite un mensaje de error de tipo AMQ9716. Si los mensajes de suceso SSL del gestor de colas están habilitados, un mensaje de suceso SSL de tipoMQRC_CHANNEL_SSL_ERRORcon ReasonQualifier establecido enMQRQ_SSL_HANDSHAKE_ERRORse genera.
Si se recibe un resultado de Desconocido y OCSPAuthentication se establece en OPTIONAL, IBM MQ permite que se inicie el canal SSL y no se generan avisos ni mensajes de suceso SSL.
Si se recibe un resultado de Desconocido y OCSPAuthentication se establece en WARN, el canal SSL se inicia pero IBM MQ emite un mensaje de aviso de tipo AMQ9717 en el registro de errores. Si los mensajes de suceso SSL del gestor de colas están habilitados, un mensaje de suceso SSL de tipoMQRC_CHANNEL_SSL_WARNINGcon ReasonQualifier establecido enMQRQ_SSL_UNKNOWN_REVOCATIONse genera.
Firma digital de respuestas OCSP
Un programa de respuesta OCSP puede firmar sus respuestas en cualquiera de tres maneras. El programa de respuesta le informará del método que se utiliza.- El programa de respuesta OCSP puede firmarse digitalmente utilizando el mismo certificado CA que emitió el certificado que está comprobando. En este caso, no necesita configurar ningún certificado adicional; los pasos que ya ha tomado para establecer la conectividad SSL son suficientes para verificar la respuesta OCSP.
- La respuesta OCSP se puede utilizar digitalmente utilizando otro certificado firmado por la misma (CA) que emitió el certificado que está comprobando. El certificado para firmas fluye con la respuesta OCSP en este caso. El certificado que ha fluido desde el programa de respuesta OCSP debe tener una extensión de uso de clave ampliada establecido en id-kp-OCSPSigning para que pueda ser fiable para esta finalidad. Dado que la respuesta OCSP fluía con el certificado que lo firmó (y dicho certificado viene firmado por una entidad emisora de certificados que ya era fiable para la conectividad SSL), no se precisa ninguna configuración de certificados adicional.
- La respuesta OCSP puede firmarse digitalmente utilizando otro certificado que no esté relacionado directamente con el certificado que está comprobando. En este caso, la respuesta OCSP se firma mediante un certificado emitido por el propio programa de respuesta OCSP. Debe añadir una copia del certificado del programa de respuesta OCSP a la base de datos de claves del cliente o del gestor de colas que realiza la comprobación OCSP. Consulte Adición de un certificado de CA (o la parte de CA de un certificado autofirmado) en un repositorio de claves en IBM Documentation. Cuando se añade un certificado CA, de forma predeterminada se añade como raíz fiable, que es el valor necesario en este contexto. Si no se añade este certificado, IBM MQ no puede verificar la firma digital en la respuesta OCSP y la comprobación OCSP da como resultado un resultado Desconocido , lo que puede hacer que IBM MQ cierre el canal, en función del valor de OCSPAuthentication.