繁体 English 中英

只接受某些证书

[英]Only accept certain certificates

原文 2014-06-07 16:23:14 9 1 java/ ssl/ truststore

我已经创建了自己的CA，并且希望使用其证书与使用SSLSockets的服务器进行通信。 我可以使用当前使用的信任库来做到这一点，但我想进行更严格的限制，以便我的服务器仅接受我明确决定的客户端的连接，这些客户端必须拥有由我的CA签名的证书（现在，任何具有由我的CA签名的证书被授予访问权限）。 其背后的目标是能够通过从服务器的信任库中删除一些证书来吊销证书。

想象一下，有两个设备A和B，它们都由我的CA签署了证书。 我只想授予对A的访问权限，而不要授予对B的访问权限。如果我仅在服务器的信任库中拥有A的证书，则两个客户端都会收到BadCertificate异常； 在我添加CA的pem文件的那一刻，无论A和B的证书是否已显式添加到信任库中，A和B都被授予访问权限。

有什么想法或替代方法吗？ 谢谢。

1 个解决方案

PKI基础结构的撤销部分（例如，如果您拥有自己的CA会得到什么）通常是使用CRL（证书撤销列表）或OCSP（在线证书状态协议）完成的。

如果对于只有几个客户端的小型PKI来说，这太费力了，那么您还可以对接受的证书（白名单）或被撤销（黑名单）的证书的指纹进行硬编码，并检查每个连接是否获得了证书匹配指纹。 当然，您需要在每次吊销（黑名单）或每当您颁发新证书（白名单）时更新应用程序，这样就不能很好地扩展。 但是，CRL也会出现相同的问题，需要将其分发给每个客户端。

OCSP可扩展性更好，因为客户端尝试在连接时检索吊销状态，但是您需要设置OCSP响应器。

Java GUI 只接受某些名称

[英]Java GUI to accept only certain names

如何只接受Java中具有某些字符的String

[英]How to only accept a String with certain characters in Java

限制JTextField只接受某些字符

[英]Restrict JTextField to only accept certain characters

ClientRequest接受所有证书

[英]ClientRequest accept all certificates

可以将枚举子类化以强制编译器仅接受某些枚举值吗？

[英]Possible to subclass an enum to force compiler to only accept certain enum values?

如何将方法限制为仅接受具有特定限制的参数？

[英]How can I limit a method to only accept parameters with certain restrictions?

Okhttp3-接受所有证书并使用证书

[英]Okhttp3 - Accept all certificates and use a certificatePinner

这是接受自签名证书的有效方法吗？

[英]Is this a valid approach to accept self-signed certificates?

Selenium2配置文件接受不受信任的证书

[英]Selenium2 profile to accept untrusted certificates

weblogic ssl 通信有可能接受所有证书吗？

[英]It is possible that a weblogic ssl communication accept all certificates?

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Java GUI 只接受某些名称如何只接受Java中具有某些字符的String 限制JTextField只接受某些字符 ClientRequest接受所有证书可以将枚举子类化以强制编译器仅接受某些枚举值吗？如何将方法限制为仅接受具有特定限制的参数？ Okhttp3-接受所有证书并使用证书这是接受自签名证书的有效方法吗？ Selenium2配置文件接受不受信任的证书 weblogic ssl 通信有可能接受所有证书吗？

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM