1
我們的客戶要求我們遷移一個面向內部的Java項目列表,以使用SSL進行潛在的敏感REST調用。他們計劃在內部生成和簽署證書。是否有可能撤消有效的SSL證書
我擔心,如果證書被破壞,應用程序可能希望吊銷其證書。
是否可以通過編程方式撤銷證書而不更改主控?似乎一旦哈希簽名被建立,就沒有辦法撤銷它,但那麼像Verisign這樣的機構怎麼做呢?
A
回答
1
這些證書包括作爲其信息如何檢查撤銷,通常是CRL(證書吊銷列表)或在線服務OCSP(在線證書狀態協議)部分
認證服務提供通過將其包括在撤銷證書CRL及其OCSP服務。當客戶要檢查證書的撤銷下載CRL檢查或執行OCSP請求
要可以做你需要: 1)有一個OCSP服務和/或CRL 2)包括在自生成的證書到OCSP/CRL的URL。 3)撤銷證書,包括他們在您的撤銷服務列表中
例如,對於安全的HTTPS網站,瀏覽器負責執行撤消檢查。然而Google decided in 2012 to default Chrome not to check for certificate revocation on non-EV certificates
因此,要知道,撤銷的控制是客戶的責任,不能做
1
吊銷證書,但不刪除該簽名的證書是使用證書的基本功能之一的證書頒發機構。
如上所述,有兩種方法可以檢查證書是否被吊銷:通過檢查專用服務器(OCSP)或通過檢查經常下載的靜態文件(CRL)。
您可以使用openssl輕鬆設置測試OCSP服務器。 你也可以使用openssl生成一個CRL文件。 CRL文件看起來有點像證書或csr(通常保存在64位)。您可以在此使用在線CRL解碼器: http://developerutils.com/CRLDecoder.php
相關問題
- 1. 沒有有效的SSL證書,HTTPS連接是否安全?
- 2. 多個SSL證書可以有效嗎?
- 3. APN SSL證書有效期
- 4. 是否有可能在NodeJS中動態返回SSL證書?
- 5. 是否有可能獲得一個SSL證書* .mysubdomain.example.com和mysubdomain.example.com
- 6. 當我的SSL證書過期時,ASIFormDataRequest是否仍然有效?
- 7. Powershell撤消證書
- 8. 檢查證書是否有效與否
- 9. 已撤消證書,因此它不再有效
- 10. 驗證期間證書是否可以導致多個有效的證書鏈?
- 11. 如何使網站SSL證書有效?
- 12. Android和SSL - 檢查證書有效性
- 13. 沒有SSL證書?
- 14. 沒有SSL證書
- 15. 發佈詐騙證書的有效SSL證書
- 16. 是否有可能撤銷提交?
- 17. 是否可以使用SSL證書作爲中間CA證書?
- 18. 什麼是有效的SSL證書通用名稱?
- 19. 新的SSL證書會影響現有的SSL證書嗎?
- 20. bosh無效的SSL證書
- 21. 爲什麼它撤銷了SSL證書?
- 22. Heroku SSL - 沒有給出的證書是一個域名證書
- 23. buildout/easy_install/setup_tools是否驗證SSL證書?
- 24. SSL: - 服務器證書的有效期限驗證programaticaly的Android
- 25. 有沒有辦法讓Firefox忽略無效的SSL證書?
- 26. SSL證書 「err_cert_authority_invalid」 只有
- 27. SSL證書沒有通過
- 28. 沒有ssl證書,google chrome
- 29. 如何檢查請求是否帶有正確的ssl證書
- 30. 如何驗證.NET中HTTPS/SSL證書的有效性?
所有這些證書是自簽名證書還是您正在創建內部CA並使用它們簽署最終實體證書?另外,你是否熟悉CRL? https://en.wikipedia.org/wiki/Revocation_list – Rahul
@Rahul我們正在創建一個內部CA和master,用於生成和簽名 –