second link Предоставляет документацию по адресу CertPath class
, как реализовать свою собственную проверку пути сертификации. Таким образом, вы должны обрабатывать целую цепочку сертификатов PKI своим собственным (например, проверка подписей и сертификатов до корня). Кроме того, он предоставляет вам информацию об PKIX
по умолчанию для проверки сертификата.
first link показать, как использовать TrustManager
, который использует алгоритм PKIX
. Помимо проверки пути прохождения сертификата с помощью PKIX
, существует еще механизм для установления связи SSL/TLS
.
Алгоритм также предусматривает механизм аннулирования (CLR
и OCSP
). Чтобы активировать OCSP, сделайте более глубокий взгляд на first link section PKIX TrustManager Support.
Если INIT используется метод (KeyStore кс), по умолчанию PKIXParameters являются используются с тем исключением, что проверка отзыва отключена. Он может быть включен, установив системное свойство com.sun.net.ssl.checkRevocation в true.
И вы должны установить свойство безопасности ocsp.enable
в true. Таким образом, в основном, не имеют ничего общего тогда
System.setProperty("com.sun.net.ssl.checkRevocation", "true");
Security.setProperty("ocsp.enable", "true");
Если вы не хотите повторно реализовать или обменять механизм проверки цепи, которая предусмотрена уже с алгоритмом TrustManager
и PKIX
то вы должны обязательно использовать first link , Если вам нужна дополнительная информация о алгоритме PKIX
, выполните свою собственную или сделайте только сертификацию подтверждения и не устанавливая связь TLS/SSL
, тогда вы должны проверить second link.
Мне просто нужно проверить сертификат и проверить проверку отзыва OCSP? что вы подразумеваете под полным PKI? – mdavid
@mdavid, см. Мой обновленный ответ для более подробной информации. –
Спасибо за ответ очень, не могли бы вы также намекнуть, где именно я должен поставить часть OCSP в доверительный менеджер? – mdavid