问题标签 [certificate-revocation]

有没有办法包括证书吊销原因？我已经找到了 CRL 的方法，但我想在每次撤销证书时都包含一个。

我努力了：

但它不包括在内。

我找不到任何可以解决我确切情况的答案，如果这是重复的，我深表歉意。我正在尝试验证我们用来对我们的文件进行数字签名的证书，该证书在我们撤销证书之前工作正常。这听起来是正确的，我听到你说，但我的理解如下：

如果有效期为 2014 年 1 月 1 日至 2015 年 1 月 1 日的证书用于在 2014 年 2 月 1 日签署文件，然后在 2014 年 3 月 1 日被撤销，则该文件上的证书仍然有效，因为它在签署时没有被撤销。

如果这种理解是正确的，那么我希望 x509Chain 对象能够通过吊销检查，即使检查是在上述文件的 2014 年 3 月 1 日之后存在最新吊销列表的情况下完成的。不幸的是，结果是验证失败，因为它认为证书已被吊销。

在这种情况下，我是否必须进行进一步测试才能查看吊销日期并覆盖结果并忽略它？我在做傻事吗？我对撤销有误解吗？

由于特定的供应商原因，我们需要在代码中执行手动证书吊销检查。

执行检查的代码已基本完成，我们唯一需要做的就是将证书从流程中拉出并在任何消息传输之前对其进行验证。因此，我们希望在 SSL 握手期间（或提交之前可访问证书的任何时间点）执行此逻辑。

首先，骡子甚至支持这个吗？
我们已经研究了在 HTTPS 端点的请求（假设响应为时已晚）部分期间附加转换器，但我们无法检索证书（当前正在查找PEER_CERTIFICATES，但始终如此null）。

如果支持，应该怎么做？

Our web application uses applets for many of its functions, and we are currently signing those applets with a CA issued certificate. The CA provides a Revocation List. Several of the sites using our application are closed networks, with no access to the internet, and we are trying to figure out how to get the CRL onto those networks, and checked when a certificate is used.

From what I have found so far, we have the option to fully disable CRL checking, in the Java options, but I’m not sure this is the best option. Would we get security warnings when launching applets if we did this? Additionally, it may become a requirement that we check the CRL.

So I think the real questions here are:

1: How do we point Java at the CRL located on our closed network?

2: Can we place it on the server, or does it have to be deployed to each machine?

3: If there are settings that have to be in place on each machine, is there a good option for pushing them out from the server?

我想根据 CRL 验证客户端提供的 X509 证书，以查看它是否已被吊销。我已成功实例化 a java.security.cert.X509CRL，但在检索会话证书时遇到问题：

SSLSession 属于javax.net.ssl 包，它的方法getPeerCertificateChain()返回一个javax.security.cert.X509Certificate[]，它不能转换为java.security.cert.X509Certificate[]我需要提供的java.security.cert.X509CRL. 怎么做到呢？

哪一个更容易使用？

我想知道是否有一种简单而持久的解决方案可以让我的用户（Android 手机）能够验证其他用户的证书是否未被吊销。在网上阅读后，我仍然很困惑，如果执行 CRL、OCSP 或其他方法更好。

• 该应用程序可能有大约 10 000 个用户。• 应用程序中使用的证书由我们签名。我们自己有一个应用程序信任的相当简单的证书颁发机构。我不喜欢使用临时解决方案，因为以后我们实施更好的解决方案时向后兼容性可能会很昂贵。

是否可以使用 Java 程序对数字证书（文件）进行撤销检查*.cer，而无需通过程序连接到 Internet？

我可以CRL从 CA 的网站下载它并将其放在运行程序的服务器上。我的程序如何根据下载的证书检查证书的吊销状态CRL？

我有多个创建证书的中间 CA 服务器。我可以看到这些新证书已添加到 index.txt。我的问题是关于证书吊销。如果服务器 1 创建了一个证书，那么服务器 1 就会关闭。然后我去服务器 2 撤销这个证书服务器 2 是如何知道这个证书的？是否可以跨多个 CA 服务器共享 index.txt 信息。使用多台服务器的原因是为了高可用性

我需要在 LDAP 服务器 (OpenDJ) 中存储证书吊销列表。我使用 ldapmodify 命令通过向 LDIF 文件添加条目来将证书存储在 LDAP 服务器中。但是，我不确定如何在 LDAP 服务器中添加吊销列表。

任何使用 LDIF 的示例将不胜感激。

由于各种原因，我正在尝试使用 C 中的粗略工具下载 CRL 文件。我正在使用 good old 打开一个 tcp 连接socket()，通过发送硬编码的纯文本 http 请求send()，通过将结果读入缓冲区recv()，然后写入该缓冲区到一个文件中（我稍后将使用它来验证各种证书）。

和recv()write-to-file 部分在一个 while 循环内，这样我就可以得到它。

我的问题是我有一段时间想出一种可靠的方法来确定何时完成接收文件（因此可以跳出 while 循环）。到目前为止，我想出的所有东西要么有误报，要么有误报（取回 0 字节发生得太频繁了，要么 EOF 标记不存在，要么我在寻找错误的字节）。最好是一种不会引入很多额外复杂性的技术。

真的，我有一个主机、端口和一个路径（都为char*）。在远端，有一个友好的 http 服务器（虽然不是我控制的）。如果没有大量额外的代码复杂性，我会对任何可以让我获得文件的东西感到满意。如果我可以访问命令行，我会选择 wget 之类的东西，但我在 C API 端没有找到任何直接的等价物，system()对于这种情况来说，这是一个糟糕的选择。