1

为什么 PDF Reader 不显示嵌入式 OCSP 响应?

我什至没有使用 crlClient:

MakeSignature.signDetached(sap, new BouncyCastleDigest(), es, chain, null, ocspClient, tsClient, 0, MakeSignature.CryptoStandard.CMS);
// chain[0] - signer certificate
// chain[1] - OperCA certificate (signer's issuer)
// chain[2] - RootCA (OperCA's issuer)

PDF 吊销选项卡详细信息显示:

所选证书被认为是有效的,因为它没有出现在本地缓存中包含的证书吊销列表 (CRL) 中。

CRL 由“B-Trust Operational CA QES <[hidden email]>”于 2014/02/19 07:53:35 +02'00' 签署,有效期至 2014/03/21 07:53:35 + 02'00'。

我想实现图 3.8 带有嵌入式 OCSP 响应的数字签名,来自 Bruno Lowagie 的免费白皮书文档。

我做错了什么或错过了什么?

这是认证路径示例 pdf

最好的问候,华伦天奴

4

1 回答 1

1

实际问题是,即使 PDF 仅嵌入了 OCSP 响应,Acrobat Reader 也不会显示它,而是显示本地 CRL。

这是由于不符合 RFC6960 或 RFC2560、OCSP 证书造成的。

错误的 OCSP 证书路径:

Root CA -> Operational CA -> Client certificates (certificates checked with OCSP)
Root CA -> OCSP

正确的OCSP认证路径:

Root CA -> Operational CA -> Client certificates (certificates checked with OCSP)
           Operational CA -> OCSP
于 2014-03-07T07:30:43.587 回答