![](/img/trans.png)
[英]Should I accept an OCSP responder certificate signed by the trust anchor?
[英]Authorized responder for an OCSP response not validating with CertPathValidator
我正在嘗試通過 CertPathValidator 使用裝訂 OCSP 檢查來驗證證書路徑。 可能有一些 RFC 協議禁止我期望驗證的內容,但我一直無法找到它。
描述所討論證書之間關系的一些繪畫藝術:概述
驗證證書路徑時,我收到一個異常,指出響應者無權簽署 OCSP 響應。
CertPathValidatorException:響應者的證書無權簽署 OCSP 響應
這是由於 sun.security.provider.certpath.OCSPResponse:561。 導致此結果的檢查期望用於簽署 OCSP 響應(或其頒發者)的證書與頒發我們正在驗證的簽名證書的證書相同。
然而,這里不是這種情況。 OCSP 響應者證書擴展了 OCSP 簽名的密鑰用法,當 CA 和簽名者證書之間存在中間時,它是否應該不能簽署 OCSP 響應?
如果您遇到同樣的問題;
在驗證它來自根 CA 或者是根 CA 之后,我將 OCSP 的響應證書添加到 PKIXRevocationChecker.setOcspResponderCert()。 吊銷檢查器仍將驗證響應證書是否具有適當的擴展名來簽署 OCSP。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.