问题标签 [certificate-revocation]

我正在实施我们的项目特定证书颁发机构 (CA)。我遇到过类似更新CA证书的案例。

问题是，我们有非常大的系统，我们将证书提供给多个组件（我们向数千个实体颁发证书）。因此，如果我们在更新时直接撤销旧证书，则会导致安全问题。为此，我们遵循这样的过程，我们只需向外部 CA 添加一个新证书，我们将更新 CA 颁发的所有实体证书的证书。

这个过程运行良好，但我在发布 CRL 时遇到了小问题（因为 CRL 是由 CA 的证书签名的）。

如果我们使用 CA 的旧证书签名，那么已经更新的实体将面临安全问题，如果我们使用 CA 的新证书签名，那么拥有旧证书的实体将面临安全问题。

我的系统中 CA 的更新过程需要一段时间。在这种情况下，我建议将 2 个 CRL 发布到更新的 CA。

但我不确定是否可以为同一个 CA 发布 2 个 CRL。

请对上述说法发表评论。

我已经使用 Bouncy Castle 构建了自己的根 CA 证书，并且正在使用它来构建其他证书。我想使用 Bouncy Castle C# 构建证书吊销列表 (CRL) 以包含已吊销证书的列表。例子：

到目前为止一切正常。如何将 X509Crl 对象保存到 .crl 文件中？

此致。

是否有 Java (JDK8) 属性可用于提供 CRL 支持以指向包含列表的文件或目录？我查看了 com.sun.net.checkRevocation 和 com.sun.security.enableCRLDP 属性，似乎证书需要具有 CRL 分发点 (CDP) 扩展才能使用第二个属性。但是我们的证书不保证有CDP扩展，我想知道Java中是否有其他属性来指定CRL文件的位置，如：some.property.for.crl.location="/root/ crl-目录”。

Java 支持在 ocsp.responderURL 属性中指定 OCSP 响应者 URL，很难想象它们没有类似的 CRL 内容。但是，我在网上的所有搜索都只指向证书中的 CDP 扩展，我正在转向 StackOverflow 寻求一些答案。

非常感谢任何反馈！谢谢， 乌莎

我目前正在努力解决一个我现在认为是由 IIS 引起的问题。

我目前正在使用根 CA (MyNewCA)、两个签名的客户端证书 (certificate1、certificate2) 和一个也由 CA 签名的吊销列表 (revocationlist.crl) 测试自签名 PKI 设置。

我已将 certificate1 添加到吊销列表中，并将其发布到我们网络上存在的 http 端口 80 站点。然后，我创建了一个通过 TLS 证书保护的假站点（测试站点）。

在客户端计算机上，我在 certificate1 和 certificate2 上运行了 CertUtil 命令，这些命令正确访问了 http crl 站点，并识别出 certificate1 已被吊销，而 certificate2 是合法的未吊销证书。

但是，当我通过客户端浏览器连接到测试站点并提供无效证书时 - IIS 仍然为我提供页面，而不是给我一个 403.13 错误。

我已经阅读了大量内容，似乎有时会出现 CRL 缓存问题，但是我发布的第一个吊销列表中包含 certificate1 的序列号，因此即使是缓存版本也会包含该吊销的证书。

我已将 IIS 服务器上 RegEdit 中的 CertCheckMode 更改为值 4，以尝试强制 IIS 在每个请求上获取最新的 crl，但即使该设置仍然允许将吊销的证书提供给客户端。

CRL 本身具有；生效日期 2016 年 1 月 19 日 下次更新 2017 年 1 月 20 日

如果它有用，我可以提供 certutil 输出，或者任何其他有助于查明问题的日志数据。

我在客户端机器上运行 Fiddler 并验证 crl 是从 Http 站点获取的。

如果有人能对这个问题提供任何见解，我将不胜感激。

谢谢，

目标：检索给定证书的证书吊销列表信息。

原因：当一个对象被设置为通过它使用一个实例java.security.cert.PKIXParameters来启用证书撤销状态检查时，此检查器需要一个调用，该调用添加一个包含一个实现，该实现包含验证器可以检查的 CRL 信息。PKIXParameters#setRevocationEnabled(true);sun.security.provider.certpath.CrlRevocationChecker PKIXParameters#addCertStore(...)java.security.cert.CertStoreX509CRL

问题：是否存在用于检索此数据的库或实现？还是必须手动完成？（下面的手册示例）。库很可能支持所有可能出现的连接/异常/错误类型，而手动解决方案需要努力达到企业标准。

证书可以在任何这些 x509 证书包装器中

用于手动检索 CRL 数据的 Java 代码

我知道有两种不同的方式，CRL 和 OCSP - 我正在研究在 Java 的 SSL 源代码 (openjdk) 中执行这些检查的确切位置。

据我所知，这些检查是在某处执行的，并且很可能是与一个对象X509TrustManager#checkClientTrusted(...)一起传递的。PKIXBuilderParameters

任何人都可以找到 SSL 在通过 CLR 数据/OCSP 运行的证书/链上启动检查的确切区域吗？

来自其他安全库的示例也可以使用（例如 Spring 或 Apache Commons）

我正在尝试检查我的证书是否被吊销。我有 CAcert 证书。crlClient 和 OCSP 完成证书吊销检查大约需要 1 小时。

我目前正在使用 SSL 编写网络 TCP 服务器。在生产中，我们最终会要求客户端使用证书进行身份验证。

为了在紧急情况下撤销证书，我们还想建立一个 CRL。

我的问题是：Java 是开箱即用地检查 CRL（如果随证书一起提供）还是我需要手动实施此类检查？

为了测试，我准备了一个带有 CRL 集的证书，但 Java 似乎没有尝试验证它（我将它放到本地 Web 服务器中，并且无法访问）。

我只找到了com.sun.net.ssl.checkRevocation=true VM 选项，但显然它没有查询 CRL。设置为java.security.debug=certpath的 VM 调试不会生成任何输出，或者...

Java 似乎在其子系统中有相关的类（例如java.security.cert.X509CRLSelector），但显然它并没有发挥作用。

编辑：删除过时的 Dropbox 链接

我想编写一个监控 CRL（证书撤销列表）到期日期的程序。因此，我想从 CRL 文件中读取以下属性：1) 生效日期 2) 下一次更新 3) 下一次 CRL 发布

我怎样才能完成我的任务？我只设法找到 X509Certificate2、X509Chain、x509RevocationMode 等的类型。

我正在尝试找出 Adob​​e Reader 或 Acrobat 中的吊销检查算法。当我在签名中嵌入时间戳时，将根据当前时间检查时间戳证书的吊销。但是，当我有文档时间戳时，会根据安全（时间戳）时间检查吊销。签名嵌入时间戳会根据当前时间进行验证，即使它是 PAdES B-LTA 签名（PDF 具有额外的文档级时间戳）。

为什么两种时间戳类型之间的“检查时间”存在差异？

编辑：我使用 Adob​​e Reader DC 2015.017.20053