Java X509证书解析和validation

我试图在几个步骤中处理X509证书并遇到几个问题。 我是JCE的新手,所以我还没有完全了解所有内容。

我们希望能够根据不同的编码(PEM,DER和PCKS7)解析几个不同的X509证书。 我使用FireFox(证书包括链)以PEM和PCKS7格式从https://belgium.be导出相同的证书。 我已经留下了一些问题所不需要的线条

public List parse(FileInputStream fis) { /* * Generate a X509 Certificate initialized with the data read from the inputstream. * NOTE: Generation fails when using BufferedInputStream on PKCS7 certificates. */ List certificates = null; log.debug("Parsing new certificate."); certificates = (List) cf.generateCertificates(fis); return certificates; } 

只要我使用FileInputStream而不是PCKS7的BufferedInputStream,这段代码工作正常,我觉得这很奇怪? 但我可以忍受它。

下一步是validation这些证书链。 1)检查所有证书是否都有有效日期(简单)2)使用OCSPvalidation证书链(如果证书中未找到OCSP URL,则回退到CRL)。 这是我不完全确定如何处理这个问题的地方。

我正在使用Sun JCE,但似乎没有那么多文档可用(在示例中)?

我首先做了一个简单的实现,只检查链而不经过OCSP / CRL检查。

 private Boolean validateChain(List certificates) { PKIXParameters params; CertPath certPath; CertPathValidator certPathValidator; Boolean valid = Boolean.FALSE; params = new PKIXParameters(keyStore); params.setRevocationEnabled(false); certPath = cf.generateCertPath(certificates); certPathValidator = CertPathValidator.getInstance("PKIX"); PKIXCertPathValidatorResult result = (PKIXCertPathValidatorResult) certPathValidator.validate(certPath, params); if(null != result) { valid = Boolean.TRUE; } return valid; } 

这适用于我的PEM证书,但不适用于PCKS7证书(相同的证书,仅以其他格式导出)。 java.security.cert.CertPathValidatorException:Path不与任何信任锚链接。

我能看到的唯一区别是CertPath的形成顺序是不一样的? 我无法弄清楚出了什么问题所以我现在离开了这个并继续使用PEM证书,但我们可以打电话给这个问题1;)

之后我想要实现的是OCSP检查。 显然,如果我使用以下命令启用OCSP: Security.setProperty(“ocsp.enable”,“true”); 并设置params.setRevocationEnabled(true); 它应该能够自己找到OCSP URL,但似乎并非如此。 应该做的标准实现是什么(问题2)? java.security.cert.CertPathValidatorException:必须指定OCSP Responder的位置

通过这个,我找到了一种使用AuthorityInfoAccessExtension等从证书中检索OCSP URL的方法。

但是在ocsp.url属性中手动设置OCSP url后,我收到了java.security.cert.CertPathValidatorException:OCSP响应错误:UNAUTHORIZED

看起来我错过了很多必要的步骤,而很多在线参考说明设置ocsp.enable属性应该是你需要做的所有事情吗?

也许你们中的任何人都不能指导我完成这个过程吗? 告诉我在哪里我完全错了:)

如果没有找到OCSP,下一步将是实施CRL检查,如果有人可以指出任何示例或向我展示一些文档,也将非常感谢!

谢谢!

编辑:由于它没有自己拾取属性,我一直在尝试使用以下方法自行设置所有属性:

  // Activate OCSP Security.setProperty("ocsp.enable", "true"); // Activate CRLDP -- no idea what this is Security.setProperty("com.sun.security.enableCRLDP", "true"); X509Certificate target = (X509Certificate) certPath.getCertificates().get(0); Security.setProperty("ocsp.responderURL","http://ocsp.pki.belgium.be/"); Security.setProperty("ocsp.responderCertIssuerName", target.getIssuerX500Principal().getName()); Security.setProperty("ocsp.responderCertSubjectName", target.getSubjectX500Principal().getName()); Security.setProperty("ocsp.responderCertSerialNumber", target.getSerialNumber().toString(16)); 

这给出了一个例外:java.security.cert.CertPathValidatorException:找不到响应者的证书(使用OCSP安全属性设置)。

为了将来的参考,我会将答案发布到我自己的问题上(部分至少)

OCSP和CRL检查已在标准Java实现中实现,不需要自定义代码或其他提供程序(BC,..)。 它们默认是禁用的。

要启用此function,您必须至少设置两个参数:

 (PKIXParameters or PKIXParameterBuilder) params.setRevocationEnabled(true); Security.setProperty("ocsp.enable", "true"); 

当您尝试validation证书路径时,这将激活OCSP检查(PKIXCertPathValidatorResult.validate())。

如果要在没有OCSP可用的情况下添加CRL的回退检查,请添加aditional属性:

 System.setProperty("com.sun.security.enableCRLDP", "true"); 

我的很多问题都发生了,因为我必须支持不同的证书格式(PKCS7,PEM)。 我的实现适用于PEM,但由于PKCS7不保存链中证书的排序,因此有点难度( http://bugs.sun.com/view_bug.do?bug_id=6238093

 X509CertSelector targetConstraints = new X509CertSelector(); targetConstraints.setCertificate(certificates.get(0)); // Here's the issue for PKCS7 certificates since they are not ordered, // but I havent figured out how I can see what the target certificate // (lowest level) is in the incoming certificates.. PKIXBuilderParameters params = new PKIXBuilderParameters(anchors, targetConstraints); 

希望这对其他人也是有用的评论,也许有人可以阐明如何在无序的PKCS7列表中找到目标证书?