请原谅我的无知,但我正在慢慢地通过使用 bouncycastle 和密码学的部门。
我正在尝试使用 OCSP,并且正在尝试使用 bouncycastle 检查证书的吊销状态。我不明白为什么 bouncycastle 需要颁发者证书才能做到这一点?要构建 OCSPReq,我必须提供需要颁发者证书的 CertificateID 对象。重点是什么?据我了解,进行 OCSP 检查所需的只是我正在检查的证书和 OCSP 响应者的 URI……如果我错了,请纠正我。
谢谢!
问问题
614 次
1 回答
3
我对 bouncycastle 组件一无所知,我纯粹是从 RFC 的角度来看的。
我们需要颁发者证书来构建 ocsp 请求(颁发者 DN 的哈希和颁发者公钥哈希的哈希),检查 RFC 2560,第 4.1.1 节
Request ::= SEQUENCE {
reqCert CertID,
singleRequestExtensions [0] EXPLICIT Extensions OPTIONAL }
CertID ::= SEQUENCE {
hashAlgorithm AlgorithmIdentifier,
issuerNameHash OCTET STRING, -- Hash of Issuer's DN
issuerKeyHash OCTET STRING, -- Hash of Issuers public key
serialNumber CertificateSerialNumber
}
于 2014-03-19T16:28:46.230 回答