OCSP/CRL 检查

对远程入局证书执行联机证书状态协议 (OCSP)/撤销列表 (CRL) 检查。 该过程会检查从远程系统的个人证书到其根证书所涉及的整个链。

使用 openSSL 验证 OCSP 验证

如果您的企业使用 openSSL 来验证 OCSP ,然后尝试使用 IBM® Global Security Kit (GSKit) TLS 连接,那么您将收到 UNKNOWN 状态警告。

这是因为除了根证书之外,链中的所有证书都由 GSKit 检查撤销状态。 GSKit 操作符合 RFC 5280 ,这在 GSKit 信任策略中进行了描述。 GSKit 算法尝试所有可用源以获取撤销信息,如 RFC 5280 和 GSKit 信任策略中所述。

OCSP/CRL 检查如何在 IBM MQ中工作?

针对指定的 OCSP 或 CRL 端点检查证书时, IBM MQ 支持两种机制 (在证书扩展中或在 AUTHINFO 对象中定义) 来控制行为:
  • qm.ini 文件的 SSL 节OCSPCheckExtensionsCDPCheckExtensionsOCSPAuthentication 属性,以及
  • 使用队列管理器的 SSLCRLNL 参数以及 AUTHINFO OCSP 和 CRLLDAP 配置。 请参阅 ALTER AUTHINFOALTER QMGR 以获取更多信息。
    注:

    带有 AUTHTYPE(OCSP) 的 ALTER AUTHINFO 命令不适用于 IBM iz/OS® 队列管理器。 但是,可以在要复制到客户机通道定义表 (CCDT) 以供客户机使用的那些平台上指定此参数。

OCSPCheckExtensionsCDPCheckExtensions SSL 节属性控制 IBM MQ 是否将针对证书的 AIA 扩展中详细描述的 OCSP 或 CRL 服务器验证证书。

如果未启用,那么不会联系证书扩展中的 OCSP 或 CRL 服务器。

如果 OCSP 或 CRL 服务器通过 AUTHINFO 对象进行详细描述,并使用 SSLCRLNL QMGR 属性进行引用,那么在证书撤销处理期间, IBM MQ 会尝试联系这些服务器。
要点: 在 SSLCRLNL 名称列表中只能定义一个 OCSP AUTHINFO 对象。
如果:
  • 设置了 OCSPCheckExtensions= NO 和 CDPCheckExtensions=NO ,并且
  • 未在 AUTHINFO 对象中定义 OCSP 或 CRL 服务器
未执行证书撤销检查。
在验证证书的撤销状态时, IBM MQ 会联系按以下顺序命名的 OCSP 或 CRL 服务器 (如果已启用):
  1. AUTHTYPE(OCSP) 对象中详细描述并在 SSLCRLNL QMGR 属性中引用的 OCSP 服务器。
  2. OCSP 服务器在证书的 AIA 扩展中详细说明 (如果 OCSPCheckExtensions=YES)。
  3. 如果 CDPCheckExtensions =YES,那么 CRL 服务器在证书的 CRLDistributionPoints 扩展中详细说明。
  4. AUTHINFO(CRLLDAP) 对象中详细描述并在 SSLCRLNL QMGR 属性中引用的任何 CRL 服务器。

在验证证书时,如果某个步骤导致 OCSP 服务器或 CRL 服务器返回对证书查询的最终 REVOKEDVALID 响应,那么不会执行进一步检查,并且所显示的证书状态将用于确定是否信任该证书。

如果 OCSP 服务器或 CRL 服务器返回结果 UNKNOWN,那么处理将继续,直到 OCSP 或 CRL 服务器返回最终结果或所有选项都已耗尽为止。

如果无法确定证书的状态,那么对于 OCSP 和 CRL 服务器,是否视为已撤销证书的行为有所不同:
  • 对于 CRL 服务器,如果无法获取 CRL ,那么会将证书视为 NOT_REVOKED
  • 对于 OCSP 服务器,如果无法从指定的 OCSP 服务器获取撤销状态,那么将通过 qm.ini 文件的 SSL 节中的 OCSPAuthentication 属性来控制行为。

    您可以将此属性配置为阻止连接,允许连接或允许带有警告消息的连接。

您可以在 qm.ini 和 mqclient.ini 文件的 SSL 节中使用 SSLHTTPProxyName=string 属性进行 OCSP 检查 (如果需要)。 字符串可以是主机名,也可以是 HTTP网络地址, GSKit 将使用该地址进行OCSP检查。

您可以在 qm.inimqclient.ini 文件的 SSL 节中设置 OCSPTimeout 值,该值用于设置在执行撤销检查时等待 OCSP 响应程序的秒数。