Cra*_*lus 9 java security cryptography ocsp pki
有人可以帮助我以下吗?
RFC2560定义何时可以接受OCSP响应者证书(签署响应):
1. Matches a local configuration of OCSP signing authority for the
certificate in question; or
2. Is the certificate of the CA that issued the certificate in
question; or
3. Includes a value of id-ad-ocspSigning in an ExtendedKeyUsage
extension and is issued by the CA that issued the certificate in
question."
我的问题是:
如果OCSP响应者的证书是由验证路径的信任锚签名的,它是否也被认为是被接受的?
我的印象应该是,但这并没有在RFC上明确说明,也没有找到明确的参考.
从我对RFC的阅读来看,即使它是由TA签署的,它仍然对OCSP响应无效.
感谢任何帮助
注意:我正在使用java,以防万一
更新:
在RFC的2.2节中:
所有明确的响应消息都应进行数字签名.
用于签署响应的密钥必须属于以下之一:- 颁发相关证书 的CA--
请求者信任其公钥的可信响应者
- CA指定响应者(授权响应者),持有由CA直接颁发的特殊标记证书,表明响应者可能发布该CA的OCSP响应
第2点对我来说似乎含糊不清.
它可能意味着:
a)任何PK可信任,因此Trust Anchor是可接受的
或
b)在第一个引用中具有point(1)的含义,这意味着预先配置证书(any)以信任为OCSP响应者,例如在这里完成:
Security.setProperty("ocsp.responderCertSubjectName",ocspCert.getSubjectDN().getName));
List<X509Certificate> list = new ArrayList<X509Certificate>();
list.add(ocspCert);
CollectionCertStoreParameters p = new CollectionCertStoreParameters(list);
CertStore store = CertStore.getInstance("Collection", p);
PKIXParameters params = new PKIXParameters(Collections.singleton(anchor));
params.addCertStore(store);
在 RFC 2560 中,这些意味着:
\n\n1. Matches a local configuration of OCSP signing authority for the\ncertificate in question; or\n\xe2\x86\x92 只要你始终意识到自己在做什么,你就可以做你想做的事。这是“包罗万象”的条款,这意味着无论您做什么,您很可能都会遵守 RFC 2560。但是,如果您是OCSP 响应的制作者,您将希望避免使用该标准许可证,因为您希望您的响应的用户接受它们,即使他们没有与您相同的“本地配置”。
\n\n2. Is the certificate of the CA that issued the certificate in\nquestion; or\n\xe2\x86\x92 棘手的一点是信任锚是一个 CA。它并不由证书正式表示(尽管在许多系统中信任锚被编码为自签名证书);但它颁发证书,因此是一个认证机构。如果 OCSP 响应是使用 TA 密钥签名的,则属于这种情况。
\n\n3. Includes a value of id-ad-ocspSigning in an ExtendedKeyUsage\nextension and is issued by the CA that issued the certificate in\nquestion."\n\xe2\x86\x92 与上面类似,OCSP 响应者签署证书 X 的答案,其中 X 似乎是由 TA 颁发的,可以使用也由同一 TA 颁发的响应者证书 R - 通过此,我的意思是 X 和 R 都是由您用作信任锚的名称和密钥的证书颁发机构颁发的。
\n\n这三种情况描述了接收OCSP 响应并希望将其用作证书路径验证的一部分的任何人都应执行的验证步骤。RFC 第 2.2 节是关于 OCSP 响应者的职责:
\n\nAll definitive response messages SHALL be digitally signed. The key\nused to sign the response MUST belong to one of the following:\n\n-- the CA who issued the certificate in question\n-- a Trusted Responder whose public key is trusted by the requester\n-- a CA Designated Responder (Authorized Responder) who holds a specially\n marked certificate issued directly by the CA, indicating that the responder\n may issue OCSP responses for that CA\n这三种情况与我们上面详细介绍的接收器的情况相匹配,按“2、1、3”的顺序。同样,“颁发证书的 CA”可以是其名称和公钥将被接收者用作信任锚的实体。
\n| 归档时间: |
|
| 查看次数: |
1705 次 |
| 最近记录: |