證書撤銷檢查的java apis

Question

Java支持開箱即用的OCSP。
儘管它正在完成的方式，（我的意思是撤銷檢查）對程序員是透明的。
我的問題是，有沒有可以創建一個有效的OCSP請求或響應的任何api（java的一部分）？所以程序員可以實現一個自定義的OCSP檢查器？

Answer 1

標準Java API不提供公共可用的類來處理OCSP。在Sun/Oracle的JDK中，OCSP管理類位於sun.security.provider.certpath包（即Java規範之外的包），而不是public（因此，在給予自己擴展訪問權限後，如果不訴諸反思，則不能使用它們）。

此外，在太陽/ Oracle的JDK的實現是一個純粹的客戶端：它可以編碼請求和解碼反應，但它不能解碼請求或編碼響應。因此，實現自定義OCSP檢查器需要手動實現編碼和解碼機制：它可以完成，但不能在五行代碼中完成。 EJBCA是一個開源PKI，完全用Java編寫，其中包括對OCSP的一些支持（我不知道提取OCSP代碼是否容易包含在其他應用程序中是否容易）。

Answer 2

請注意，Java 8有一個JEP 124 - Enhance the Certificate Revocation-Checking API，它應該專門爲證書吊銷提供新的API。

檢查出a recent Oracle blog post描述新功能，以及official Draft Readme。

希望這會有所幫助。