使用已撤销证书
认证中心可以撤销数字证书。 您可以根据平台,使用 OCSP 或 LDAP 服务器上的 CRL 来检查证书的撤销状态。
在 TLS 握手期间,通信伙伴使用数字证书相互认证。 认证过程中,可以检查所接收到的证书是否仍然可信。 由于各种原因,认证中心 (CA) 撤销证书,包括:
- 所有者已移至其他组织
- 专用密钥不再是私钥
CA 在证书撤销列表 (CRL) 中发布已撤销的个人证书。 已经被撤销的 CA 证书发布在权限撤销列表 (ARL) 中。
![[AIX、Linux 和 Windows]](ngalw.gif)
在 AIX®, Linux®, and Windows 平台上, IBM® MQ SSL 支持使用 OCSP (联机证书状态协议) 或使用 LDAP (轻量级目录访问协议) 服务器上的 CRL 和 ARL 来检查已撤销的证书。 OCSP 是首选方法。
IBM MQ classes for Java 和 IBM MQ classes for JMS 无法在客户机通道定义表文件中使用 OCSP 信息。 但是,您可以配置 OCSP ,如 使用联机证书协议中所述。
![[z/OS]](ngzos.gif)
![[IBM i]](ngibmi.gif)
在 IBM i 和 z/OS® 平台上, IBM MQ SSL 支持仅使用 LDAP 服务器上的 CRL 和 ARL 来检查已撤销的证书。
有关认证中心的更多信息,请参阅 数字证书。