Как использовать ответы OCSP при проверке CertPath

Я не хочу, чтобы средство проверки Java связывалось с респондентом OCSP.

Я работаю над библиотекой XAdES, поэтому мне нужно будет использовать ответы OCSP, которые кто-то сохранил в XML-документе, чтобы проверить, были ли подписи действительными в какой-то момент в прошлом. Это приводит к необходимости предоставлять ответы OCSP на CertPathBuilder таким же образом, как предоставляются списки отзыва сертификатов, и заставляет его использовать их для проверки сертификатов в какой-то момент в прошлом.

В документации Oracle описано только, как заставить валидатор обращаться к респонденты OCSP, в нем не описывается, как использовать ответы OCSP для проверки.

Можно ли использовать Java PKI API или Bouncy Caste Lightweight API?


java bouncycastle ocsp cryptography pki
person Hubert Kario    schedule 09.10.2012    source источник
comment
Не могли бы вы дать ссылку на эту документацию Oracle?   -  person Maarten Bodewes    schedule 09.10.2012

Ответы (1)


arrow_upward
2
arrow_downward

В той же ссылке находится PKIXCertPathChecker. часть, которую вы можете реализовать для выполнения проверки OCSP. Я просмотрел код как OCSPChecker, реализующий этот контракт, и OCSP базовый класс реализации. OCSPChecker, похоже, создает URI экземпляр, который преобразуется в URL классом реализации OCSP. К сожалению, затем он напрямую используется в качестве входных данных для HTTP-соединения, поэтому кажется, что вы застряли на HTTP, если используете прямой маршрут.

Теперь оба класса, конечно, под лицензией GPL, так что вы можете просто взять их и создать другую реализацию, при условии, что вы придерживаетесь лицензии GPL, которая идет вместе с ними. В противном случае у вас, похоже, мало другого выбора, кроме как реализовать PKIXCertPathChecker самостоятельно ...

person Maarten Bodewes    schedule 09.10.2012