我不希望 Java 验证器联系 OCSP 响应者。
我正在研究 XAdES 库,因此我需要使用有人保存在 XML 文档中的 OCSP 响应来验证签名在过去某个时间是否有效。这使得有必要以提供 CRL 的相同方式提供 OCSP 响应,CertPathBuilder并使其在过去的某个时间使用它们来验证证书。
Oracle 文档仅描述了如何使验证器联系OCSP 响应者,它没有描述如何使用 OCSP 响应进行验证。
是否可以使用 Java PKI API 或 Bouncy Caste Lightweight API?
在同一个链接中是PKIXCertPathChecker部分,您可以实现它来执行 OCSP 检查。我查看了实现此合约的OCSPChecker类和底层实现类的OCSP的代码。OCSPChecker似乎创建了一个实例,该实例由实现类URI转换为。不幸的是,它随后被直接用作 HTTP 连接的输入,因此如果您使用直接路由,您似乎会被 HTTP 卡住。URLOCSP
现在这两个类当然都是 GPL 的,所以你可以简单地抓住它们并创建一个不同的实现,只要你遵守它附带的 GPL 许可证。否则你似乎别无选择,只能实施PKIXCertPathChecker自己......