如何在 OCSP 響應中獲取和提取簽名者的證書
[英]How to get and extract signer's certificate in OCSP Response
問題描述
我正在嘗試對遠程網站證書執行 OCSP 驗證。 當我收到 OCSP 驗證響應時。 我需要對簽名者的證書執行 extendedKeyUsage "id-kp-OCSPSigning (1.3.6.1.5.5.7.3.9)" 驗證。 但是我無法在 OCSP 響應中找到簽名者的證書。
來自https://datatracker.ietf.org/doc/html/rfc6960#section-4.2.2.2第 18 頁:
響應者可以在 BasicOCSPResponse 的 certs 字段中包含證書,以幫助 OCSP 客戶端驗證響應者的簽名。
但是 BasicOCSPResponse 中的 Cert 字段變空了。 是不是我需要發送一些擴展來強制 OCSPResponder 發送歌手的證書。 或者我看錯地方了。 誰能建議我如何找到簽名者的證書?
1 個解決方案
解決方案1
0 2022-02-14 10:18:36
我對 OCSP 響應的理解不正確。 有 3 個選項可以是原始簽名證書。
- 頒發者證書是證書鏈的一部分 - 大多數情況下都是這樣。
- 它可能是 trustore 中可用的證書之一。
- 它也可能作為 OCSPResponse 的一部分出現,但這並不總是必需的,因為這可以使用來自上述 2 個選項的證書進行驗證。
如果使用第三個條件找到簽名證書。 它應該符合 2 個條件:
- 它應該具有 extendedKeyUsage 作為 id-kp-OCSPSigning (oid: 1.3.6.1.5.5.7.3.9) 和
- OCSPResponse 簽名應與證書匹配。
- 該證書應使用頒發者證書的公鑰進行驗證。
如何在配置了SSL的tomcat中緩存和更新CRL(證書吊銷列表)/ OCSP響應?
[英]How to cache and update CRL (certificate revokation list)/OCSP responses in SSL configured tomcat?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.