1. дома
  2. Вопрос и ответ
  3. Java + X509: Как получить отмененные сертификаты?

Java + X509: Как получить отмененные сертификаты?

2016-06-07 2 views
0

Выполнение отладки в механизме проверки сертификатов X509 Java. Мне просто интересно, как отменить сертификаты? В RFC 4158 (и документации, относящейся к PKI) я узнал, что каждый CA (или Сторона, предоставляющая Trust Anchors) может выдать CRL (Список отзыва сертификатов).Java + X509: Как получить отмененные сертификаты?

Является ли Java загрузкой CRL самостоятельно или просто предоставит обновленную информацию с каждой (младшей) версией, которую я обновляю?

Какие варианты существуют для таможенной инфраструктуры (это лучшая практика, чтобы обеспечить, как только собственный (глобальный) TrustManager?)

источник

2016-06-07 Martin Kersten

ответ

0

Выполнение отладки в механизме X509 Certificate Validation Явы я просто интересно, как сертификаты получить отозваны ? В RFC 4158 (и связанной с PKI документации ) я узнал, что каждый CA (или Сторона, предоставляющая Trust Anchors) может выдавать CRL (Список отзыва сертификатов).

Сертификатов, включают в себя как часть их информации, как проверить отзыв, как правило, CRL (Список отозванных сертификатов) или онлайн ОМТП службы (протокол состояния сертификата)

Поставщик сертификационных услуг (CA) отзывать сертификат, включив его в CRL и его службу OCSP. Когда клиент хочет проверить аннулирование сертификата загрузить CRL для проверки или выполняет запрос OCSP

ли Java загрузку CRLs на своем собственном или просто будет предоставлять обновленную информацию с каждой (малой) версией я обновить?

Нет, Java позволяет проверять аннулирование сертификата, но не сам

Какие варианты существуют для пользовательской инфраструктуры (это лучше практика предоставлять один раз собственный (глобальный) TrustManager?)

У Java есть своя структура для создания доверительного хранилища с использованием файлов хранилища ключей (формат JKS или PKCS12). По умолчанию используется jre/lib/security/cacerts. Траст-магазин будет проверен в соединениях https, например

Рекомендуется использовать инструменты, предоставляемые системой, если только вам не нужно улучшать функциональность. Объясните свой вариант использования, и я мог бы быть более конкретным.

источник

2016-06-08 08:08:49 pedrofb

+0

Вопрос был поднят во время отладки. Баскиально проблема заключалась в том, что сторонний инструмент поставлялся со своими собственными jks, и я потихоньку использовал три разных магазина доверия по-разному. Я просто задавался вопросом, доходит ли Java до отзыва с добавлением дополнительной информации при каждом обновлении, которое они публикуют. –

+0

Возможно, инструмент использует собственный магазин доверия, заменяющий JACK-Cacerts (обычно для добавления доверенных сертификатов). Не существует какого-либо Java-процесса, который проверяет отмену этих доверительных магазинов. В этом случае было бы целесообразно объединить в один центральный JKS. Специально для ремонта. Но если инструмент часто выпускает обновления, у вас должна быть работа по унификации (например, с помощью скрипта). – pedrofb

+0

Я переписываю доверительный магазин с намерением, что весело было то, что у меня действительно было несколько доверенных магазинов. –

Смежные вопросы

 Смежные вопросы