Local de um respondente OCSP e dos servidores LDAP que contêm CRLs
Em um sistema IBM® MQ MQI client , é possível especificar a localização de um respondente do OCSP, e de servidores Lightweight Directory Access Protocol (LDAP) que detêm listas de revogação de certificado (CRLs).
É possível especificar esses locais de três maneiras descritas aqui, em ordem de precedência decrescente.
![[IBM i]](ngibmi.gif)
For IBM i, see Acesso a CRLs e ARLs em IBM i.
Quando um aplicativo IBM MQ MQI client emite uma chamada MQCONNX
É possível especificar um respondente OCSP ou um servidor LDAP que contém CRLs em uma chamada MQCONNX.
Em uma chamada MQCONNX, a estrutura de opções de conexão, MQCNO, pode referenciar uma estrutura de opções de configuração de SSL, MQSCO. Por sua vez, a estrutura MQSCO pode referenciar uma ou mais estruturas de registro de informações sobre autenticação, MQAIR. Cada estrutura MQAIR contém todas as informações que um IBM MQ MQI client requer para acessar um Responder do OCSP ou um servidor LDAP segurando CRLs. Por exemplo, um dos campos em uma estrutura MQAIR é a URL na qual um replicador pode ser contatado. Para obter mais informações sobre a estrutura MQAIR, consulte MQAIR-Registro de informações sobre autenticação.
Usando uma tabela de definição de canal de cliente (ccdt) para acessar um respondente OCSP ou servidores LDAP
Para que um IBM MQ MQI client possa acessar um respondente do OCSP ou servidores LDAP que detenham CRLs, inclua os atributos de um ou mais objetos de informações de autenticação em uma tabela de definição de canal do cliente.
Em um gerenciador de filas do servidor é possível definir um ou mais objetos de informações sobre autenticação. Os atributos de um objeto de autenticação contêm todas as informações que são necessárias para acessar um respondente OCSP (em plataformas em que OCSP é suportado) ou um servidor LDAP que contém CRLs. Um dos atributos especifica a URL do respondente OCSP, outro especifica o endereço do host ou endereço IP de um sistema no qual um servidor LDAP é executado.
![[z/OS]](ngzos.gif)
An authentication information object with AUTHTYPE(OCSP) does not apply for use on IBM i ou z/OS® queue managers, but it can be specified on those platforms to be copied to the client channel definition table (CCDT) for client use.
Para ativar um IBM MQ MQI client para acessar um respondente do OCSP ou servidores LDAP que detêm CRLs, os atributos de um ou mais objetos de informações de autenticação podem ser incluídos em uma tabela de definição de canal do cliente. É possível incluir atributos em uma das seguintes maneiras:
![[ UNIX, Linux, Windows, IBM i ]](ngmulti.gif)
- Nas plataformas do servidor AIX®, Linux®, IBM ie Windows
É possível definir uma lista de nomes que contém os nomes de um ou mais objetos de informações de autenticação. Em seguida, é possível configurar o atributo de gerenciador de filas, SSLCRLNL, para o nome dessa lista de nomes.
Se você estiver usando CRLs, mais de um servidor LDAP poderá ser configurado para fornecer maior disponibilidade. A intenção é que cada servidor LDAP contenha as mesmas CRLs. Se um servidor LDAP estiver indisponível quando ele for necessário, um IBM MQ MQI client pode tentar acessar outro.
Os atributos dos objetos de informação de autenticação identificados pela lista de nomes são referidos coletivamente aqui como o local de revogação de certificado. Ao configurar o atributo de gerenciador de filas, SSLCRLNL, para o nome da lista de nomes, o local de revogação de certificado é copiado para a tabela de definição de canal de cliente associada ao gerenciador de filas. Se o CCDT pode ser acessado a partir de um sistema cliente como um arquivo compartilhado, ou se o CCDT for então copiado para um sistema cliente, o IBM MQ MQI client nesse sistema poderá utilizar o local de revogação do certificado no CCDT para acessar um respondente do OCSP ou servidores LDAP que detêm CRLs.
Se o local de revogação de certificado do gerenciador de filas for mudado posteriormente, a mudança será refletida na CCDT associada ao gerenciador de filas. Se o atributo de gerenciador de filas, SSLCRLNL, for configurado em branco, o local de revogação de certificado será removido do CCDT. Estas alterações não são refletidas em nenhuma cópia da tabela em um sistema do cliente.
Se você requerer que o local de revogação de certificado nas extremidades do cliente e do servidor de um canal MQI seja diferente, e o gerenciador de filas do servidor for aquele que é usado para criar o local de revogação de certificado, será possível fazer isto conforme a seguir:- No gerenciador de filas do servidor, crie o local de revogação de certificado para uso no sistema do cliente.
- Copie a CCDT contendo o local de revogação de certificado no sistema do cliente.
- No gerenciador de filas do servidor, altere o local de revogação de certificado para o que é necessário na extremidade do servidor do canal MQI.
- Na máquina cliente, é possível usar o comando runmqsc com o parâmetro -n.
- Nas plataformas clientes AIX, Linux, IBM ie Windows
Você pode construir um CCDT na máquina cliente usando o comando runmqsc com o parâmetro -n e os objetos DEFINE AUTHINFO no arquivo CCDT. A ordem em que os objetos são definidos em é a ordem na qual eles são usados no arquivo. Qualquer nome que você possa usar em um objeto DEFINE AUTHINFO não será retido no arquivo. Somente números posicionais são usados quando você DISPLAY os objetos AUTHINFO em um arquivo CCDT.
Nota: Se você especificar o parâmetro -n , você não deve especificar nenhum outro parâmetro.
![[Windows]](ngwin.gif)
Usando o Active Directory no Windows
Em sistemas Windows , você pode usar o comando de controle setmqcrl para publicar as informações atuais do CRL no Active Directory.
O comando setmqcrl não publica informações de OCSP.
Para obter informações sobre este comando e sua sintaxe, consulte setmqcrl.