在Java的X509證書驗證機制中進行調試我只是想知道如何撤銷證書?通過RFC 4158(和PKI相關文檔),我瞭解到每個CA(或提供Trust錨點的方)都可以頒發CRL(證書吊銷列表)。Java + X509:如何取消證書?
Java是否自行下載CRL或者只是提供更新的每個(次要)版本更新的信息?
有哪些選項自定義基礎設施(爲它提供一次自己的(全球)的TrustManager最佳實踐?)
在Java的X509證書驗證機制中進行調試我只是想知道如何撤銷證書?通過RFC 4158(和PKI相關文檔),我瞭解到每個CA(或提供Trust錨點的方)都可以頒發CRL(證書吊銷列表)。Java + X509:如何取消證書?
Java是否自行下載CRL或者只是提供更新的每個(次要)版本更新的信息?
有哪些選項自定義基礎設施(爲它提供一次自己的(全球)的TrustManager最佳實踐?)
在Java中的X509證書驗證機制做調試我 只是想知道證書是如何被撤銷?根據RFC 4158(和PKI相關的 文檔),我瞭解到每個CA(或提供Trust錨定的一方)都可以頒發CRL(證書吊銷列表)。
這些證書包括作爲其信息的一部分,如何檢查撤銷,通常是CRL(證書吊銷列表)或在線服務OCSP(在線證書狀態協議)
認證服務提供(CA)撤銷將其包含在CRL及其OCSP服務中。當客戶要檢查證書撤銷下載CRL檢查或執行OCSP請求
就是Java下載在自己的CRL,或只是將提供更新 信息與每個(未成年人)的版本我更新?
不,Java允許你檢查證書撤銷,但本身並不
存在一個自定義的基礎設施(是不是最好的做法,以 提供一次自己的(全球)的TrustManager?)
哪些選項
Java有自己的結構來使用密鑰庫文件(JKS或PKCS12格式)來建立信任庫。默認是jre/lib/security/cacerts。信任庫將在https連接中進行檢查,例如
除非需要改進功能,否則使用系統提供的工具是一種很好的做法。解釋你的用例,我可能更具體
這是一個在調試過程中產生的問題。基本上問題是第三方工具帶有自己的jks,我突然使用了三種不同的信任存儲。我只是想知道,Java是否通過在每次發佈更新時添加更多信息來趕上撤銷。 –
可能該工具使用自己的信任庫替換JDK cacerts(通常添加可信證書)。沒有任何Java過程檢查這些信任庫的撤銷。在這種情況下,最好統一爲一箇中央JKS。特別是爲了裝修。但是,如果該工具頻繁發佈更新,則必須有統一的工作(例如,通過腳本) – pedrofb
我確實通過意圖覆蓋信任庫,因爲我真的有多個信任庫。 –