second link Предоставляет документацию по адресу CertPath class, как реализовать свою собственную проверку пути сертификации. Таким образом, вы должны обрабатывать целую цепочку сертификатов PKI своим собственным (например, проверка подписей и сертификатов до корня). Кроме того, он предоставляет вам информацию об PKIX по умолчанию для проверки сертификата.
first link показать, как использовать TrustManager, который использует алгоритм PKIX. Помимо проверки пути прохождения сертификата с помощью PKIX, существует еще механизм для установления связи SSL/TLS.
Алгоритм также предусматривает механизм аннулирования (CLR и OCSP). Чтобы активировать OCSP, сделайте более глубокий взгляд на first link section PKIX TrustManager Support.
Если INIT используется метод (KeyStore кс), по умолчанию PKIXParameters являются используются с тем исключением, что проверка отзыва отключена. Он может быть включен, установив системное свойство com.sun.net.ssl.checkRevocation в true.
И вы должны установить свойство безопасности ocsp.enable в true. Таким образом, в основном, не имеют ничего общего тогда
System.setProperty("com.sun.net.ssl.checkRevocation", "true");
Security.setProperty("ocsp.enable", "true");
Если вы не хотите повторно реализовать или обменять механизм проверки цепи, которая предусмотрена уже с алгоритмом TrustManager и PKIX то вы должны обязательно использовать first link , Если вам нужна дополнительная информация о алгоритме PKIX, выполните свою собственную или сделайте только сертификацию подтверждения и не устанавливая связь TLS/SSL, тогда вы должны проверить second link.
Мне просто нужно проверить сертификат и проверить проверку отзыва OCSP? что вы подразумеваете под полным PKI? – mdavid
@mdavid, см. Мой обновленный ответ для более подробной информации. –
Спасибо за ответ очень, не могли бы вы также намекнуть, где именно я должен поставить часть OCSP в доверительный менеджер? – mdavid