Trabajar con certificados revocados

Las Entidades emisoras de certificados pueden revocar los certificados digitales. Puede comprobar el estado de revocación de los certificados utilizando OCSP, o listas de revocación de certificados (CRL) en servidores LDAP, dependiendo de la plataforma.

Durante el reconocimiento TLS, los participantes en la comunicación se autentican entre sí mediante certificados digitales. La autenticación puede incluir una comprobación de que el certificado recibido continúa siendo fiable. Las Entidades emisoras de certificados (CA) revocan certificados por diversas razones, entre ellas:
  • El propietario ha cambiado de organización
  • La clave privada ya no es secreta

Las CA publican los certificados personales revocados en una Lista de revocación de certificados (CRL). Los certificados de CA que se han revocado se publican en una Lista de revocación de autorizaciones (ARL).

[AIX, Linux, Windows]En las plataformas AIX®, Linux®, and Windows , el soporte SSL IBM® MQ comprueba los certificados revocados mediante OCSP (Online Certificate Status Protocol) o mediante CRLs y ARLs en servidores LDAP (Lightweight Directory Access Protocol). El OCSP es el método preferido.

IBM MQ classes for Java y IBM MQ classes for JMS no pueden utilizar la información de OCSP en un archivo de tabla de definición de canal de cliente. Sin embargo, puede configurar OCSP tal como se describe en Utilización del protocolo de certificados en línea.

[IBM i]En IBM i, la compatibilidad con SSL de IBM MQ comprueba los certificados revocados mediante CRL y ARL sólo en servidores LDAP.

[z/OS]En z/OS®, el soporte SSL de IBM MQ comprueba los certificados revocados utilizando CRL y ARL sólo en servidores LDAP.

Para obtener más información sobre las autoridades de certificación, consulte Certificados digitales.