Java SSL证书吊销检查
我目前正在使用SSL编写网络TCP服务器。在生产中,我们最终将要求客户使用证书进行身份验证。
为了在紧急情况下吊销证书,我们还想建立一个CRL。
我的问题是:Java是否开箱即用地检查CRL(如果提供了证书),还是需要手动实施此类检查?
为了进行测试,我准备了带有CRL设置的证书,但是Java似乎没有尝试对其进行验证(我将其放入本地Web服务器中并且无法访问)。
我仅找到 _com.sun.net.ssl.checkRevocation = true_ VM选项,但显然它不查询CRL。设置为
java.security.debug = certpath的 VM调试不会生成任何输出,或者…
Java似乎在其子系统中具有相关的类(例如 java.security.cert.X509CRLSelector ),但是显然它没有起作用。
- 我编写了一个使用Apache
- Mina作为客户端服务器的小型maven风格的项目,该项目基于客户端/服务器的密钥/信任库和自签名证书初始化SSLContext,可以在此处将其下载为ZIP存档:https
- //www.dropbox.com
/s/3fqmd1v9mn2a5ve/ssltest.zip?dl=0
回答:
我想出了如何在SSLContext中启用CRL检查,而无需实现注释中建议的自定义验证器。
主要是关于使用吊销检查器,只有几行,没有自定义检查逻辑以及现在自动检查CRL和验证路径来正确初始化SSLContext的TrustManager。
这是一个片段…
KeyStore ts = KeyStore.getInstance("JKS");FileInputStream tfis = new FileInputStream(trustStorePath);
ts.load(tfis, trustStorePass.toCharArray());
KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
// initialize certification path checking for the offered certificates and revocation checks against CLRs
CertPathBuilder cpb = CertPathBuilder.getInstance("PKIX");
PKIXRevocationChecker rc = (PKIXRevocationChecker)cpb.getRevocationChecker();
rc.setOptions(EnumSet.of(
PKIXRevocationChecker.Option.PREFER_CRLS, // prefer CLR over OCSP
PKIXRevocationChecker.Option.ONLY_END_ENTITY,
PKIXRevocationChecker.Option.NO_FALLBACK)); // don't fall back to OCSP checking
PKIXBuilderParameters pkixParams = new PKIXBuilderParameters(ts, new X509CertSelector());
pkixParams.addCertPathChecker(rc);
tmf.init( new CertPathTrustManagerParameters(pkixParams) );
// init KeyManagerFactory
kmf.init(...)
SSLContext ctx = SSLContext.getInstance("TLS");
ctx.init(kmf.getKeyManagers), tmf.getTrustManagers(), null);
从本质上讲,这满足了我在应用程序中所需的工作,检查了颁发给客户的证书是否在我们的CRL中被吊销。只接受最终实体并允许CRL检查失败,因为它是我们的所有基础结构。
以上是 Java SSL证书吊销检查 的全部内容, 来源链接: utcz.com/qa/420374.html
