5

我不清楚在 OCSP 响应的定义中使用响应者 ID。

我正在通过 Java 的 PKIX API 进行 OCSP 检查。

使用我得到的第三方库(在 OCSP 响应处理期间):

java.security.cert.CertPathValidatorException:无法确定吊销状态:响应中的 ResponderID 与响应者证书不匹配。

如果我切换到默认提供程序(例如 SUN),则不会出现此类异常,并且吊销检查工作正常。

进一步研究,似乎此异常与响应者的标识符是否将使用签名证书的公钥或签名证书的主题的密钥哈希有关。

我不知道有什么区别以及为什么 SUN 的实施对 OCSP 响应没有问题。

在我了解这里发生的事情之前,我不想草率地得出结论并放弃另一个库。

有人可以帮我理解这里可能是什么问题吗?

4

1 回答 1

1

ResponderID allows the client find the certificate among the certificate(s) provided by the server OR, when the certificate is not provided, among the certificates stored locally on the client side.

于 2011-05-09T12:44:57.590 回答