Strophe SSL du fichier qm.ini

Protocole OCSP (Online Certificate Status Protocol)

Un certificat peut contenir une extension AuthorityInfoAccess. Cette extension spécifie un serveur à contacter via le protocole OCSP (Online Certificate Status Protocol). Pour permettre aux canaux SSL ou TLS de votre gestionnaire de files d'attente d'utiliser les extensions AuthorityInfoAccess, assurez-vous que le serveur OCSP nommé dans ces extensions est disponible, qu'il est correctement configuré et qu'il est accessible sur le réseau. Pour plus d'informations, voir Utilisation des certificats révoqués.

CrlDistributionPoint (CDP)

Un certificat peut contenir une extension CrlDistributionPoint. Cette extension contient une URL qui identifie à la fois le protocole utilisé pour télécharger une liste de révocation de certificats (CRL) et le serveur à contacter.

Si vous souhaitez autoriser les canaux SSL ou TLS de votre gestionnaire de files d'attente à utiliser les extensions CrlDistributionPoint, assurez-vous que le serveur CDP nommé dans ces extensions est disponible, correctement configuré et accessible sur le réseau.

Attributs de la strophe SSL

Utilisez la strophe SSL du fichier qm.ini pour configurer la façon dont les canaux TLS de votre gestionnaire de files d'attente tentent d'utiliser les fonctions suivantes et la façon dont ils réagissent en cas de problèmes lors de leur utilisation.

Dans chacun des cas suivants, si la valeur fournie n'est pas l'une des valeurs valides répertoriées, la valeur par défaut est utilisée. Aucun message d'erreur indiquant qu'une valeur non valide a été spécifiée n'est consigné.

OutboundSNI = CHANNEL | NOM_HÔTE

Si OutboundSNI est défini sur CHANNEL, les clients compatibles SNI définissent SNI sur le nom de canal IBM® MQ cible sur le système distant lors du lancement d'une connexion TLS.

Si cet attribut est défini sur HOSTNAME, les clients compatibles SNI définissent l'en-tête SNI sur le nom d'hôte, ce qui entraîne la réception par les demandes de connexion sortantes du certificat par défaut du gestionnaire de files d'attente éloignées lors de l'établissement de liaison TLS. Par conséquent, les certificats par canal ne peuvent pas être utilisés.

Remarque: Si OutboundSNI=HOSTNAME est utilisé pour se connecter à un canal distant avec un libellé de certificat configuré, la connexion est rejetée avec unMQRC_SSL_INITIALIZATION_ERRORet un message AMQ9673 est consigné dans les journaux des erreurs du gestionnaire de files d'attente éloignées.

AllowOutboundSNI = YES (par défaut) |NO

Si cette option est activée, les clients compatibles SNI définiront SNI sur le nom de canal IBM MQ cible sur le système distant lors du lancement d'une connexion TLS. Si cet attribut est défini sur NO, les clients compatibles SNI ne définissent pas l'en-tête SNI, ce qui entraîne la réception par les demandes de connexion sortantes du certificat par défaut du gestionnaire de files d'attente éloignées lors de l'établissement de liaison TLS. Par conséquent, les certificats par canal ne peuvent pas être utilisés.

Attention: De IBM MQ 9.3.0 la propriété AllowOutboundSNI est obsolète et n'est disponible qu'à des fins de compatibilité ascendante.

AllowOutboundSNI défini sur YES fournit la même fonction que OutboundSNI défini sur CHANNEL, tandis que AllowOutboundSNI défini sur NO fournit la même fonction que OutboundSNI défini sur HOSTNAME.

Si les attributs AllowOutboundSNI et OutboundSNI sont présents dans la strophe SSL, le paramètre OutboundSNI est prioritaire.

AllowedCipherSpecs=nom|liste de noms|ALL

Spécifie une liste personnalisée de CipherSpecs qui sont commandés et activés pour être utilisés avec les canaux IBM MQ sur les plates-formes multiples. Le fait de spécifier AllowedCipherSpecs empêche les auditeurs de IBM MQ d'accepter des demandes de démarrage de canal, à moins qu'ils n'utilisent l'une des options nommées CipherSpecs.

• Nom CipherSpec unique.
• Liste de noms IBM MQ CipherSpec séparés par des virgules à réactiver.
• ALL La valeur spéciale de ALL, représentant tous les CipherSpecs (non recommandé).
  Remarque : vous ne devez pas sélectionner ALL CipherSpecs,, car cela permet d'utiliser tous les algorithmes cryptographiques faibles et peu sûrs.

Pour plus d'informations, voir Ajout d'une liste personnalisée de CipherSpecs commandés et activés sur IBM MQ for Multiplatforms dans CommandeCipherSpec lors de l'établissement de liaison TLS.

AllowTLSV13=Y|YES|T|TRUE (défaut) |N|NO|F|FALSE

Indique si un gestionnaire de files d'attente peut utiliser les CipherSpecsTLS 1.3 .

• Y (valeur par défaut), YES (valeur par défaut), T (valeur par défaut) ou TRUE (valeur par défaut): Active TLS 1.3 qui permet au gestionnaire de files d'attente d'utiliser les CipherSpecs TLS 1.3 CipherSpecs.
• N, NO, Fou FALSE: désactive TLS 1.3, ce qui signifie que le gestionnaire de files d'attente ne peut pas utiliser TLS 1.3 CipherSpecs.

Pour plus d'informations, voir Activation des CipherSpecs CipherSpecs.

CDPCheckExtensions=YES|NO (par défaut)

Spécifie si les canaux TLS de ce gestionnaire de files d'attente essaient de vérifier les serveurs CDP nommés dans les extensions de certificat CrlDistributionPoint.

• YES: Les canaux TLS tentent de vérifier les serveurs CDP pour déterminer si un certificat numérique est révoqué.
• NO (valeur par défaut): les canaux TLS ne tentent pas de vérifier les serveurs CDP. Cette valeur est la valeur par défaut.

HTTPSCertRevocation=REQUIRED(default )|OPTIONNEL|DÉSACTIVÉ

Définit le niveau des vérifications d'extension CRL/OCSP pour les certificats HTTPS vers un point de terminaison JWKS.

• REQUIRED (par défaut) : Vérifier l'état de révocation du certificat et s'assurer qu'il est résolu.
• OPTIONNEL : Vérifier l'état de révocation du certificat mais tolérer s'il est inconnu.
• DISABLED : Ne pas vérifier l'état de révocation du certificat.

HTTPSCertValidation=HOSTNAMECN(default )|ANY|NONE

Définit le niveau de validation du nom du pair du certificat effectué lors de l'établissement de connexions d' HTTPS s à un point de terminaison JWKS.

• HOSTNAMECN (par défaut) : Vérifier que le certificat de l'homologue est valide, signé et qu'il appartient à l'hôte distant.
• ANY : vérifie que le certificat de l'homologue est valide et signé, mais n'échoue pas s'il n'appartient pas à l'hôte distant (si le champ CN ne correspond pas au nom de l'hôte distant).
• NONE : Ne pas valider le certificat du serveur.

HTTPSKeyStore=string

La chaîne fournit le chemin d'accès à un dépôt de clés pkcs12 qui peut être utilisé par le gestionnaire de files d'attente comme registre de confiance lors de la création de connexions HTTPS sortantes, par exemple vers un point de terminaison JWKS.

Ce fichier doit être chiffré et accompagné d'un fichier'stash'du même nom, c'est-à-dire d'un fichier avec une extension .sth , utilisé lorsque le gestionnaire de files d'attente doit accéder à ce fichier. Par défaut, si cet attribut n'est pas spécifié, le gestionnaire de files d'attente recherche dans le sous-répertoire ssl des données du gestionnaire de files d'attente un fichier nommé mqdefcer.p12.

Si cet attribut est mis à jour, vous devez redémarrer le gestionnaire de files d'attente pour commencer à utiliser le nouveau fichier de référentiel de clés spécifié.

Voir Création d'un référentiel de clés à utiliser en tant que magasin de clés de confiance TLS pour savoir comment créer un magasin de clés de confiance basé sur votre environnement de système d'exploitation.

MinimumRSAKeySize=int

Indique la taille de clé minimale que les certificats RSA doivent avoir pour être acceptés lors de l'établissement d'une liaison TLS. Autorise toute valeur égale ou supérieure à 0. Par défaut 1 ou 2048 si non spécifié.

OCSPAuthentication=REQUIRED (par défaut) | WARN | FACULTATIF

Indique l'action à effectuer lorsqu'un statut de révocation ne peut pas être déterminé à partir d'un serveur OCSP.

Si la vérification OCSP est activée, un programme de canal TLS tente de contacter un serveur OCSP.

Si le programme de canal ne parvient pas à contacter les serveurs OCSP ou si aucun serveur ne peut fournir le statut de révocation du certificat, la valeur du paramètre OCSPAuthentication est utilisée.

• REQUIRED (valeur par défaut): L'échec de la détermination du statut de révocation provoque la fermeture de la connexion avec une erreur. Cette valeur est la valeur par défaut.
• WARN: L'échec de la détermination du statut de révocation entraîne l'écriture d'un message d'avertissement dans le journal des erreurs du gestionnaire de files d'attente, mais la connexion est autorisée à se poursuivre.
• OPTIONAL: L'échec de la détermination du statut de révocation permet à la connexion de se poursuivre en mode silencieux. Aucun avertissement ou erreur n'est indiqué.

OCSPCheckExtensions = YES (valeur par défaut) | NON

Indique si les canaux TLS de ce gestionnaire de files d'attente essaient de vérifier les serveurs OCSP nommés dans les extensions de certificat AuthorityInfoAccess.

• YES (valeur par défaut): les canaux TLS tentent de vérifier les serveurs OCSP pour déterminer si un certificat numérique est révoqué. Cette valeur est la valeur par défaut.
• NON: Les canaux TLS ne tentent pas de vérifier les serveurs OCSP.

OCSPTimeout= nombre

Nombre de secondes d'attente d'un répondeur OCSP lors de l'exécution d'une vérification de révocation.

Depuis la IBM MQ 9.3.0, si la valeur 0 est définie, le délai d'attente par défaut de 30 secondes est utilisé.

Si aucune valeur n'est définie, la valeur par défaut IBM MQ de 30 secondes est utilisée.

Pe erCertChainValidation=chaîne

La chaîne peut être l'une des deux valeurs suivantes:

• Usepeerchain [ Par défaut ]: La chaîne de certificats fournie par l'homologue peut être utilisée pour combler les écarts de chaîne de confiance lors de la validation des certificats. A l'exception du certificat racine.
• Truststoreonly [ Non recommandé ]: seuls les certificats du magasin de clés de confiance seront utilisés pour valider le certificat de l'homologue.

RFC5280EKUChecks = VRAI | FAUX

Valide l'extension Extended Key Usage (EKU) du certificat du gestionnaire de file d'attente distant lorsque le gestionnaire de file d'attente local agit en tant que client.

Cet attribut comporte les valeurs possibles suivantes :

exit utilisateur associé à une tâche

Si le certificat du gestionnaire de file d'attente distant a spécifié un EKU qui n'inclut pas serverAuth, alors la connexion est rejetée.

FALSE

L'EKU n'a pas validé si le certificat du gestionnaire de file d'attente distant a spécifié un EKU ou non.

SSLHTTPConnectTimeout= num éro |0

Nombre de secondes d'attente pour l'établissement d'une connexion réseau avec un serveur HTTP lors d'un contrôle de révocation.

Si aucune valeur n'est définie, la valeur par défaut IBM MQ 0 (off) est utilisée.

SSLHTTPProxyName= chaîne

La chaîne est le nom d'hôte ou l'adresse réseau du serveur proxy HTTP qui doit être utilisé par IBM Global Security Kit (GSKit) pour les vérifications OCSP. Cette adresse peut être suivie d'un numéro de port facultatif, entre parenthèses. Si vous n'indiquez pas le numéro de port, le port HTTP par défaut, 80, est utilisé.

Pour les clients 32 bits sur AIX®, l'adresse réseau ne peut être qu'une IPv4 adresse.

Sur les autres plateformes, l'adresse réseau peut être une adresse IPv4 ou IPv6 .

Cet attribut peut être nécessaire si, par exemple, un pare-feu empêche l'accès à l' URL du répondeur OCSP.

Exemple de section

SSL:
        OutboundSNI=CHANNEL
        AllowedCipherSpecs=TLS13 CipherSpec list 
        AllowTLSV13=Y
        CDPCheckExtensions=NO
        MinimumRSAKeySize=1
        OCSPAuthentication=REQUIRED
        OCSPCheckExtensions=YES
        OCSPTimeout=30
        PeerCertChainValidation=Usepeerchain
        SSLHTTPConnectTimeout=0