System.setProperty("com.sun.net.ssl.checkRevocation", "true");
Security.setProperty("ocsp.enable", "true");
设置这些属性确实足以启用OCSP吗?
如果是这样,那为什么我们需要弹性城堡OCSP支持而不仅仅是设置此属性?
如果证书包含颁发机构信息访问扩展(OCSPSigning),则您无事可做,请设置您提到的属性。
System.setProperty("com.sun.net.ssl.checkRevocation", "true");
Security.setProperty("ocsp.enable", "true");
有关更多信息,请参见RFC3280和如何使用OpenSSL升级OCSP。
如果您的CA不提供已颁发证书的扩展名,则可以通过设置属性来配置响应者URL
Security.setProperty("ocsp.responderURL", ...)
默认情况下,OCSP响应程序的位置是根据要验证的证书隐式确定的。当证书中没有颁发机构信息访问扩展名(在RFC 3280中定义)或需要覆盖时,使用该属性。
如果OCSP响应者的证书与颁发者的证书不匹配,则可以通过设置
Security.setProperty("ocsp.responderCertSubjectName", ...);
默认情况下,OCSP响应者的证书是正在验证的证书的颁发者的证书。当默认值不适用时,此属性标识OCSP响应者的证书。它的值是一个字符串专有名称(在RFC 2253中定义),用于在证书路径验证期间提供的一组证书中标识一个证书。如果仅主题名称不足以唯一地标识证书,则必须同时使用ocsp.responderCertIssuerName和ocsp.responderCertSerialNumber属性。设置属性th后,将忽略这两个属性。
有关可用于配置OCSP的所有属性的说明,请参见《JavaTM PKI程序员指南》。
为什么我们需要弹性城堡OCSP支持而不仅仅是设置此属性?
没有人说您必须使用充气城堡作为安全提供者。至少在使用JRE 1.8的情况下,使用默认的sun JCE很好。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句