1

我正在使用Java 中的Card Verifiable Certificates(使用 PrimeKey/EJBCA 的cert-cvc 库),它们是非 X.509 证书,但它们实现了java.security.cert.Certificate.

我想使用现有的链构建算法,即使用CertPathBuilder及其 PKIX 实现(在 Oracle/Sun 的安全提供商或 Bouncy Castle 中)来构建这些 CVC 证书的链。我目前坚持使用PKIXBuilderParameters我的一组信任锚,因为它显然需要 X.509 证书。

有没有办法在 PKIX 中使用非 X.509 证书?如果没有,有没有办法使用CertPathBuilder非 X.509 证书而不必实现我自己的自定义CertBuilderSpi

4

1 回答 1

1

我认为 aPKIX certpath builder不适用于 CVC。根据PKIX (rfc5280)x.509 验证路径非常具体,包括名称约束、证书策略扩展等。这可能是 trustanchors 需要 x.509 证书的原因。

我能想到的唯一不需要您实现自定义的选项CertBuilderSpi是,如果 BC 有一个用于 CVC 的选项,因为它还实现了其他 CVC 证书。

但快速搜索:

find . -name "*.java" -exec grep -H "extends CertPathBuilderSpi" {} \;

只显示PKIX类。并且 cert-cvc 也没有实现CertPathBuilder. 不过,这样的添加会很酷。

干杯,托马斯

于 2013-01-02T07:22:13.917 回答