我试图通过几个步骤处理X509证书,并遇到几个问题.我是新来的JCE,所以我不完全是最新的一切.

我们希望能够根据不同的编码(PEM,DER和PCKS7)来解析几个不同的X509证书.我使用FireFox(证书包括链)从PEC和PCKS7格式从https://belgium.be导出了相同的证书.我已经离开了几条线,这些问题不是必需的

public List parse(FileInputStream fis) {

/*

* Generate a X509 Certificate initialized with the data read from the inputstream.

* NOTE: Generation fails when using BufferedInputStream on PKCS7 certificates.

*/

List certificates = null;

log.debug("Parsing new certificate.");

certificates = (List) cf.generateCertificates(fis);

return certificates;

}

这个代码工作正常,因为我使用FileInputStream而不是PCKS7的BufferedInputStream,这是非常奇怪的,我认为？但我可以和它一起生活

下一步是验证这些证书链.

1)检查所有证书是否具有有效的日期(简单)

2)使用OCSP验证证书链(如果证书中没有找到OCSP URL,则返回CRL).这是我不完全确定如何处理这个问题.

我正在使用Sun JCE,但是似乎没有那么多的文档(在示例中)？

我首先做了一个简单的实现,只检查链,而不经过OCSP / CRL检查.

private Boolean validateChain(List certificates) {

PKIXParameters params;

CertPath certPath;

CertPathValidator certPathValidator;

Boolean valid = Boolean.FALSE;

params = new PKIXParameters(keyStore);

params.setRevocationEnabled(false);

certPath = cf.generateCertPath(certificates);

certPathValidator = CertPathValidator.getInstance("PKIX");

PKIXCertPathValidatorResult result = (PKIXCertPathValidatorResult)

certPathValidator.validate(certPath, params);

if(null != result) {

valid = Boolean.TRUE;

}

return valid;

}

这对我的PEM证书工作正常,但不是为了PCKS7证书(相同的证书,仅以其他格式导出).

java.security.cert.CertPathValidatorException：Path不链接任何信任锚.

我唯一可以看到的区别是,CertPath的形成顺序是不一样的？我不能弄清楚出了什么问题,所以我现在离开了,并继续使用PEM证书,但是我们可以称之为这个问题1)

之后我想实现的是OCSP检查.

显然,如果我启用OCSP使用：Security.setProperty(“ocsp.enable”,“true”);并设置params.setRevocationEnabled(true);

它应该能够自己找到OCSP URL,但似乎不是这样.什么标准实现应该做(问题2)？

java.security.cert.CertPathValidatorException：必须指定OCSP响应程序的位置

过去这一点,我发现了一种使用AuthorityInfoAccessExtension从证书中检索OCSP网址的方法.

但是在ocsp.url属性中手动设置OCSP网址后,我得到一个java.security.cert.CertPathValidatorException：OCSP响应错误：UNAUTHORIZED

似乎我错过了很多必要的步骤,而许多在线参考文献说,设置ocsp.enable属性应该是你需要做的所有事情？

也许你们中的任何一个人都不能指导我完成这个过程吗？告诉我我完全错误的地方:)

如果没有找到OCSP,下一步将实施CRL检查,如果有人可以指出任何示例或向我显示一些文档,这也将不胜感激！

谢谢！

编辑：

由于它不是自己拾取属性,所以我一直在尝试使用以下命令设置所有属性：

// Activate OCSP

Security.setProperty("ocsp.enable", "true");

// Activate CRLDP -- no idea what this is

Security.setProperty("com.sun.security.enableCRLDP", "true");

X509Certificate target = (X509Certificate) certPath.getCertificates().get(0);

Security.setProperty("ocsp.responderURL","http://ocsp.pki.belgium.be/");

Security.setProperty("ocsp.responderCertIssuerName", target.getIssuerX500Principal().getName());

Security.setProperty("ocsp.responderCertSubjectName", target.getSubjectX500Principal().getName());

Security.setProperty("ocsp.responderCertSerialNumber", target.getSerialNumber().toString(16));

哪一个例外：

java.security.cert.CertPathValidatorException：找不到响应者的证书(使用OCSP安全属性进行设置).