1

请原谅我的无知,但我正在慢慢地通过使用 bouncycastle 和密码学的部门。

我正在尝试使用 OCSP,并且正在尝试使用 bouncycastle 检查证书的吊销状态。我不明白为什么 bouncycastle 需要颁发者证书才能做到这一点?要构建 OCSPReq,我必须提供需要颁发者证书的 CertificateID 对象。重点是什么?据我了解,进行 OCSP 检查所需的只是我正在检查的证书和 OCSP 响应者的 URI……如果我错了,请纠正我。

谢谢!

4

1 回答 1

3

我对 bouncycastle 组件一无所知,我纯粹是从 RFC 的角度来看的。

我们需要颁发者证书来构建 ocsp 请求(颁发者 DN 的哈希和颁发者公钥哈希的哈希),检查 RFC 2560,第 4.1.1 节

Request         ::=     SEQUENCE {
   reqCert                     CertID,
   singleRequestExtensions     [0] EXPLICIT Extensions OPTIONAL }

CertID          ::=     SEQUENCE {
   hashAlgorithm       AlgorithmIdentifier,
   issuerNameHash      OCTET STRING, -- Hash of Issuer's DN
   issuerKeyHash       OCTET STRING, -- Hash of Issuers public key
   serialNumber        CertificateSerialNumber 
 }
于 2014-03-19T16:28:46.230 回答