Uso ampliado de claves (EKU) del certificado

La extensión del certificado «Extended Key Usage» indica uno o varios fines para los que se puede utilizar un certificado TLS. La validación de esta extensión depende de la política de validación de certificados que se esté utilizando.

IBM® MQ Valida tanto los certificados del cliente como los del servidor de acuerdo con la política de validación configurada, que puede ser de nivel básico o de nivel RFC 5280. Para obtener más información sobre las directivas de validación de certificados IBM MQ, consulte Diseño de directivas de validación y confianza de certificados en AIX, Linux y Windows.

Desde IBM MQ 9.4.5, cuando IBM MQ está configurado para validar certificados en el nivel RFC 5280, IBM MQ valida la extensión de uso de clave extendido si está presente. Esta comprobación no se realiza cuando IBM MQ se valida en el nivel básico. Si es necesario, puede desactivar la validación de la extensión Extended Key Usage mientras realiza la validación en el nivel RFC 5280 configurando RFC5280EKUChecks=FALSE en la estrofa SSL de los siguientes .ini archivos:

IBM MQ cliente: mqclient.ini
Administrador de colas: qm.ini

Las versiones anteriores de IBM MQ no validan la extensión de uso de clave extendido, incluso cuando se configuran para validar certificados en el nivel RFC 5280. No es posible habilitar la validación de la extensión de uso ampliado de claves.

Si la extensión Extended Key Usage se valida y se rechaza, la conexión TLS falla. Esto ocurriría si, por ejemplo, el certificado del servidor tuviera un EKU de codeSigning y no serverAuth (aunque un certificado puede contener varios valores EKU).