数字证书的相关专业名词(下)---OCSP及其java中的应用,2024年最新面试考场一般由什么组成

最新推荐文章于 2024-05-31 21:46:15 发布
最新推荐文章于 2024-05-31 21:46:15 发布
阅读量1k 收藏 28
点赞数 30
分类专栏: 2024年程序员学习 文章标签: java 面试 哈希算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84412011/article/details/138048602
版权

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上Java开发知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以添加V获取:vip1024b (备注Java)
img

正文

通过上面的学习我们已经可以成功获取ocsp url了,那么接下来就来看看如何通过ocsp url获取ocsp响应结果,步骤如下

1. 生成ocsp请求OCSPReq

我们需要的内容有颁发者证书(根证书),待验证证书的序列号
步骤如下:
①创建CertificateID
首先根据输入的颁发者证书和待查询证书的序列号(serialNumber),生成代表该证书的唯一标识——CertificateID。,代码如下:

// Generate the id for the certificate we are looking for
CertificateID id = new CertificateID(new JcaDigestCalculatorProviderBuilder().build().get(CertificateID.HASH_SHA1),
new JcaX509CertificateHolder(issuerCert), serialNumber);

在创建CertificateID时,首先获取一个用于计算SHA-1 CertHash的JcaDigestCalculator对象。在这里,先通过调用JcaDigestCalculatorProviderBuilderbuild()方法获取一个用于计算摘要的DigestCalculatorProvider实例,然后再调用该实例的get()方法并传入CertificateID.HASH_SHA1常量来获取SHA-1算法的JcaDigestCalculator实例。
接着使用new JcaX509CertificateHolder(issuerCert)将颁发者证书转换为Bouncy Castle库中的X509CertificateHolder对象。

X509CertificateHolder是Bouncy Castle库中用于表示X.509证书的一个重要类。它提供了许多有用的方法来获取证书的各种属性,例如:subject、issuer、Serial Number等等。通过将颁发者证书转换为X509CertificateHolder对象,我们可以方便地从该对象中提取Issuer信息以构建CertificateID。

在这个过程中,JcaX509CertificateHolder类是一种用于创建X509CertificateHolder对象的便捷方式,它实现了X509CertificateHolder接口并封装了一个X.509证书。当我们调用new JcaX509CertificateHolder(issuerCert)时,会创建一个新的JcaX509CertificateHolder对象,并使用issuerCert初始化该对象。最终返回的X509CertificateHolder对象包含有关颁发者证书的信息,可以用于创建CertificateID。

然后结合待验证证书的序列号加上前面我们获取的SHA-1算法的JcaDigestCalculator实例以及X509CertificateHolder就可以构成CertificateID。
②创建OCSPReqBuilder
然后创建OCSPReqBuilder对象,并使用addRequest方法向请求中添加待查询的证书信息,即上一步中生成的CertificateID。

// basic request generation with nonce
OCSPReqBuilder gen = new OCSPReqBuilder();
gen.addRequest(id);

③添加Nonce扩展
为了防止重放攻击,可以在OCSP请求中添加一个随机数Nonce。这里使用BouncyCastle库提供的id_pkix_ocsp_nonce扩展来实现,将随机数作为DER编码的OctetString类型数据加入到Nonce扩展中。这个随机数我们通过PdfEncryption.createDocumentId()来获取

在PDF文档中,Nonce是一种用于生成加密密钥的随机数。为了确保生成的Nonce具有足够的熵(即随机性),应该使用高质量的随机数生成器来生成它。在iText 7中,可以使用PdfEncryption.createDocumentId()方法来获取一个具有足够熵的随机数作为Nonce,因为该方法使用了安全的随机数生成器。
确保生成的Nonce是具有足够熵的随机数非常重要,因为如果Nonce不够随机,则可能会出现加密弱点。攻击者可能会利用这些弱点来破解加密并访问被加密的内容。因此,使用安全的随机数生成器来生成Nonce是非常重要的,并且PdfEncryption.createDocumentId()方法提供了一种方便和可靠的方式来获得这样的随机数。

Extension ext = new Extension(OCSPObjectIdentifiers.id_pkix_ocsp_nonce, false,
new DEROctetString(new DEROctetString(PdfEncryption.createDocumentId()).getEncoded()));
gen.setRequestExtensions(new Extensions(new Extension[] { ext }));

最后,调用build()方法获取OCSPReq对象,该对象表示一个完整的OCSP请求信息。完整代码如下:

private static OCSPReq generateOCSPRequest(X509Certificate issuerCert, BigInteger serialNumber)
throws OCSPException, IOException, OperatorException, CertificateEncodingException {
// Add provider BC
Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());

// Generate the id for the certificate we are looking for
CertificateID id = new CertificateID(new JcaDigestCalculatorProviderBuilder().build().get(CertificateID.HASH_SHA1),
new JcaX509CertificateHolder(issuerCert), serialNumber);

// basic request generation with nonce
OCSPReqBuilder gen = new OCSPReqBuilder();
gen.addRequest(id);

Extension ext = new Extension(OCSPObjectIdentifiers.id_pkix_ocsp_nonce, false,
new DEROctetString(new DEROctetString(PdfEncryption.createDocumentId()).getEncoded()));
gen.setRequestExtensions(new Extensions(new Extension[] { ext }));
return gen.build();
}

2. 创建并配置一个HTTP连接,并且配置连接,用于向指定的URL发送OCSP请求消息,并等待响应消息。

byte[] array = request.getEncoded();
URL urlt = new URL(url);
HttpURLConnection con = (HttpURLConnection) urlt.openConnection();
con.setRequestProperty(“Content-Type”, “application/ocsp-request”); //设置HTTP请求头属性,表示请求消息体的格式是OCSP请求。
con.setRequestProperty(“Accept”, “application/ocsp-response”); //设置HTTP请求头属性,表示接受响应消息体的格式是OCSP响应。
con.setDoOutput(true); //设置HTTP连接可以输出数据。
con.setConnectTimeout(3000);
con.setReadTimeout(5000);

3. 向已经建立的HTTP连接发送数据,并获取响应状态码(response code)和响应结果

OutputStream out = con.getOutputStream(); //获取输出流,用于向服务器发送请求数据。
DataOutputStream dataOut = new DataOutputStream(new BufferedOutputStream(out)); //创建一个数据输出流对象,用于将字节数组写入到输出流中。
dataOut.write(array); //将OCSP请求消息体数组(array)中的数据写入到数据输出流中。
dataOut.flush(); //刷新数据输出流,将缓冲区中的数据推送到网络中。
dataOut.close(); //关闭数据输出流。
if (con.getResponseCode() / 100 != 2) {
throw new IOException(MessageLocalization.getComposedMessage(“invalid.http.response.1”, con.getResponseCode()));
}
// Get Response
InputStream in = (InputStream) con.getContent();
return new OCSPResp(StreamUtil.inputStreamToArray(in));

完整获取回复OCSP回复代码如下:

private static OCSPReq generateOCSPRequest(X509Certificate issuerCert, BigInteger serialNumber)
throws OCSPException, IOException, OperatorException, CertificateEncodingException {
// Add provider BC
Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());

// Generate the id for the certificate we are looking for
CertificateID id = new CertificateID(new JcaDigestCalculatorProviderBuilder().build().get(CertificateID.HASH_SHA1),
new JcaX509CertificateHolder(issuerCert), serialNumber);

// basic request generation with nonce
OCSPReqBuilder gen = new OCSPReqBuilder();
gen.addRequest(id);

Extension ext = new Extension(OCSPObjectIdentifiers.id_pkix_ocsp_nonce, false,
new DEROctetString(new DEROctetString(PdfEncryption.createDocumentId()).getEncoded()));
gen.setRequestExtensions(new Extensions(new Extension[] { ext }));
return gen.build();
}

public static OCSPResp getOcspResponse(X509Certificate checkCert, X509Certificate rootCert1, String url)
throws GeneralSecurityException, OCSPException, IOException, OperatorException {
if (checkCert == null || rootCert1 == null) {
return null;
}
if (url == null) {
return null;
}
OCSPReq request = generateOCSPRequest(rootCert1, checkCert.getSerialNumber());
byte[] array = request.getEncoded();
URL urlt = new URL(url);
HttpURLConnection con = (HttpURLConnection) urlt.openConnection();
con.setRequestProperty(“Content-Type”, “application/ocsp-request”);
con.setRequestProperty(“Accept”, “application/ocsp-response”);
con.setDoOutput(true);
con.setConnectTimeout(3000);
con.setReadTimeout(5000);
OutputStream out = con.getOutputStream();
DataOutputStream dataOut = new DataOutputStream(new BufferedOutputStream(out));
dataOut.write(array);
dataOut.flush();
dataOut.close();
if (con.getResponseCode() / 100 != 2) {
throw new IOException(MessageLocalization.getComposedMessage(“invalid.http.response.1”, con.getResponseCode()));
}
// Get Response
InputStream in = (InputStream) con.getContent();
return new OCSPResp(StreamUtil.inputStreamToArray(in));
}

4.通过ocspResponse判断证书是否吊销

//ocsp 校验结果:0(吊销),1(生效),2(ocsp校验异常)
OCSPResp ocspResponse = null;
try {
ocspResponse =getOcspResponse(cert, root, ocspurl); //这个方法就是之前获取ocspResponse的方法
} catch (Exception e) {
logger.warn(e.getMessage(), e);
return 2;
}
if (ocspResponse == null) {
logger.warn(“未获取到ocsp响应”);
return 2;
}
if (ocspResponse.getStatus() != OCSPResp.SUCCESSFUL) { //判断此次连接返回的响应结果
logger.warn(“获取ocsp响应未成功”);
return 2;
}
BasicOCSPResp basicResponse = null; //获取到BasicOCSPResp
try {
basicResponse = (BasicOCSPResp) ocspResponse.getResponseObject();
} catch (Exception e) {
logger.warn(e.getMessage(), e);
return 2;
}

if (basicResponse != null) {
SingleResp[] responses = basicResponse.getResponses();
if (responses.length == 1) {
SingleResp resp = responses[0];
Object status = resp.getCertStatus();
if (status == CertificateStatus.GOOD) {
return 1;
} else if (status instanceof RevokedStatus) {
return 0;
} else {
logger.warn(“ocsp校验结果:” + “ocsp.status.is.unknown”);
return 2;
}
}
}
return 2;

这里可能大家对BasicOCSPResp不太熟悉

BasicOCSPResp是OCSP协议中的一个类,用于表示OCSP响应消息体中的基本响应消息。它包含了指定证书的响应状态信息,以及生成响应的签名等元数据。
在OCSP响应消息体中,BasicOCSPResp是必须存在的。它的结构如下:
ResponderID: 响应者(OCSP服务器)的身份标识。
ProducedAt: 响应消息体生成的时间戳。
Responses: 包含了待验证证书的相关信息和响应状态信息。
ResponseExtensions: 可选,包含了响应消息的扩展字段。
SignatureAlgorithmIdentifier: 签名算法标识符。
Signature: 对响应消息体进行数字签名后的签名值。
BasicOCSPResp类提供了一些方法来获取响应消息体的各个部分的内容,如getResponderId()方法可以获取响应者的身份标识,getProducedAt()方法可以获取响应消息生成的时间戳等。通过这些方法,可以对OCSP响应消息体进行解析和处理。

然后这里再解释一下这里为什么要对

SingleResp[] responses = basicResponse.getResponses();
if (responses.length == 1) {

}

在OCSP响应消息中,BasicOCSPResp对象可以包含多个单个响应(SingleResponse)对象,每个单个响应对应一个待校验证书的OCSP响应消息。在常规情况下,一个OCSP请求只需要校验一个证书,因此BasicOCSPResp对象中只会包含一个单个响应。

但是,由于网络传输等原因,有时会发生OCSP响应消息体格式错误或者损坏的情况,导致BasicOCSPResp对象中可能包含多个单个响应或者不包含任何单个响应。这种情况在实际工程中出现的概率较低,但仍然有可能发生。

为了避免出现这种情况,代码中进行了如下判断:

SingleResp[] responses = basicResponse.getResponses(); 获取BasicOCSPResp对象中所有的单个响应。

if (responses.length == 1) {...} 判断单个响应数量是否为1,如果不是,则表示OCSP响应消息体格式错误或者损坏,无法进行后续校验操作,因此返回2表示校验异常。

通过判断单个响应数量,可以确保OCSP响应消息体格式正确且只包含一个单个响应。
然后就可以通过刚才获取的ocspUrl去验证结果了。

public static void main(String[] args) throws GeneralSecurityException, IOException, OperatorException, OCSPException {
String verifyCert = “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”;
CertificateFactory cf = CertificateFactory.getInstance(“X.509”, new BouncyCastleProvider());
X509Certificate certificate = (X509Certificate) cf
.generateCertificate(new ByteArrayInputStream(Base64Utils.decode(verifyCert)));
String rootCert = “MIIEGDCCAwCgAwIBAgIQag48Y/PJFceE2VmIFXZ9qDANBgkqhkiG9w0BAQsFADAzMQswCQYDVQQGEwJDTjERMA8GA1UECgwIVW5pVHJ1c3QxETAPBgNVBAMMCFVDQSBSb290MB4XDTE1MDMxMzAwMDAwMFoXDTI5MTIzMTAwMDAwMFowMzELMAkGA1UEBhMCQ04xETAPBgNVBAoMCFVuaVRydXN0MREwDwYDVQQDDAhTSEVDQSBHMjCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAN6IIHj7qZIYrz466zxTGCPURSI6GZqbFCTtxBrPnTE5SKtCIyqRNwj/+3A9f/cCyWYHptLeGeY80WORDGuZBBHiVTEsIHSnXZvfqCnQf9KmAisVOOTIGCPWJvCRnfMWLdAcENNaZDIxpkc31ZejALBNPHJDDhxmt6PqyvdX5/cF6gkXO2OOzCa/EF5+x9LwWUKAGR/b+x5j5vt637AQjNmt5Xym63sQdwEaAHqTuPCbcwl+Y1eKXmWuFUXcMk+JdbOhXmjqbOIhup5yrx+hyXc+dtRBJzuSEpvC7WkXLJInR2dqb+Bc2ReJd6zM1deM1MPRmqdJQKEDyT7lEXST53UCAwEAAaOCASYwggEiMEEGA1UdIAQ6MDgwNgYIKoEchu86gRUwKjAoBggrBgEFBQcCARYcaHR0cDovL3d3dy5zaGVjYS5jb20vcG9saWN5LzAOBgNVHQ8BAf8EBAMCAQYwDwYDVR0TAQH/BAUwAwEB/zBDBggrBgEFBQcBAQQ3MDUwMwYIKwYBBQUHMAKGJ2h0dHA6Ly9sZGFwMi5zaGVjYS5jb20vcm9vdC91Y2Fyb290LmRlcjAdBgNVHQ4EFgQUVoje4xhDgrdypCbrRKli0IfErCYwHwYDVR0jBBgwFoAU2x8182tM/0IxZJvNu1oeHUgQt+4wNwYDVR0fBDAwLjAsoCqgKIYmaHR0cDovL2xkYXAyLnNoZWNhLmNvbS9yb290L3VjYXN1Yi5jcmwwDQYJKoZIhvcNAQELBQADggEBAHj7LkurkcVg8NqoXTg8skl96hhVN06jx2OuiEUFda8NVOfxvaCIc7Ep009/CHZnFUaQO3DYZejpTPAMlsJa18luc12xrOhLZxP4ht2TY+UfcskrjiyrrczJ+95dXT+ChYcGtDGfYXFKDOrgsxekEahSIs+fS/H4LA3Y3z8SeK4tFRigaWZQWV2kW+YNRAtXPoNYUPbPCq3UP4dLtm35DHPvdn/h1iVo5/GU+P02F+SBd6J4AO+wcVw5izs6LRXNRnfgSERM7vP8WLt+lX14umZXJPMPh+WoAH9WU6KnXFwLxpltCayueWsLOzDsX6sUbLcp/vPPrkA20CzeMerxY9E=”;
X509Certificate rootCertificate = (X509Certificate) cf
.generateCertificate(new ByteArrayInputStream(Base64Utils.decode(rootCert)));

byte[] authorityInfoAccesses = certificate.getExtensionValue(Extension.authorityInfoAccess.getId());
ASN1InputStream aIn = new ASN1InputStream(new ByteArrayInputStream(authorityInfoAccesses));
ASN1OctetString octs = (ASN1OctetString) aIn.readObject();
aIn = new ASN1InputStream(new ByteArrayInputStream(octs.getOctets()));
ASN1Primitive asn1Primitive = aIn.readObject();
ASN1Sequence AccessDescriptions = (ASN1Sequence) asn1Primitive;
String AccessLocation = null;
for (int i = 0; i < AccessDescriptions.size(); i++) {
ASN1Sequence AccessDescription = (ASN1Sequence) AccessDescriptions.getObjectAt(i);
if (AccessDescription.size() != 2) {
continue;
} else if (AccessDescription.getObjectAt(0) instanceof ASN1ObjectIdentifier) {
ASN1ObjectIdentifier id = (ASN1ObjectIdentifier) AccessDescription.getObjectAt(0);
if (SecurityIDs.ID_OCSP.equals(id.getId())) {
ASN1Primitive description = (ASN1Primitive) AccessDescription.getObjectAt(1);
AccessLocation = getStringFromGeneralName(description);
// 区别于itext源码,不获取ldap协议地址
if (AccessLocation.startsWith(“ldap”)) {
continue;
}
if (AccessLocation == null) {
System.out.println(“”);
} else {
System.out.println(AccessLocation);
}
}
}
}
OCSPResp ocspResponse = getOcspResponse(certificate, rootCertificate, AccessLocation);
System.out.println(ocspResponse);
BasicOCSPResp basicResponse = null; //获取到BasicOCSPResp
try {
basicResponse = (BasicOCSPResp) ocspResponse.getResponseObject();

总结

大型分布式系统犹如一个生命,系统中各个服务犹如骨骼,其中的数据犹如血液,而Kafka犹如经络,串联整个系统。这份Kafka源码笔记通过大量的设计图展示、代码分析、示例分享,把Kafka的实现脉络展示在读者面前,帮助读者更好地研读Kafka代码。

麻烦帮忙转发一下这篇文章+关注我

就这一次!拼多多内部架构师培训Kafka源码笔记(现已绝版)

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注Java)
img

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

享,把Kafka的实现脉络展示在读者面前,帮助读者更好地研读Kafka代码。

麻烦帮忙转发一下这篇文章+关注我

[外链图片转存中…(img-2HCMcFlj-1713710875791)]

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注Java)
[外链图片转存中…(img-l2sKfTLE-1713710875792)]

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84412011
关注
  • 30
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ocsp java_OpenSSL 通过OCSP手动验证证书
weixin_36212212的博客
02-12 822
翻译:https://raymii.org/s/articles/OpenSSL_Manually_Verify_a_certificate_against_an_OCSP.html?utm_source=tuicool&utm_medium=referral目录:1、ocsp客户端获取证书2、获取证书信任链3、发送ocsp请求4、吊销证书5、其他错误这篇文章主要用来说明如何借助ocsp服...
数字证书相关专业名词(下)---OCSP及其java应用
学习不止境的博客
04-13 3223
该篇文章讲述如何获取OCSP地址以及通过OCSP地址获取OCSP响应结果
什么是OCSP装订?如何在Nginx启用?
最新发布
长风破浪会有时的博客
05-31 307
OCSP装订就是一种高效的方法,它可以让客户端在与服务器建立连接时,同时获取到证书和证书的状态信息,从而减少了额外的网络延迟。OCSP是“在线证书状态协议”的缩写,它的作用是检查数字证书是否有效,就像我们查看食品是否过期一样。所以,OCSP装订就是把数字证书的状态信息附加到服务器的响应,这样当客户端(比如我们的电脑)与服务器通信时,就可以更快地知道证书是否有效,而不需要再去单独查询。总的来说,OCSP装订是一种提高网络安全性的技术,它可以让客户端更高效地获取数字证书的状态信息。
数字证书相关专业名词(下)---OCSP及其java应用,网络安全工作资料
2201_75604341的博客
04-07 995
其实我一开始看的时候会觉得间两步是不是有点多余,我明明可以直接aIn.readObject()得到ASN1Primitive,为什么还要多转成一次ASN1OctetString呢。我们实践一下通过上面忽略两步操作后,发现报了类型转化的异常,这个原因又是为什么呢首先是我们获取的证书的扩展信息,根据 X.509 标准,CRL 分发点扩展是由一个 OCTET STRING 构成的,其包含了一个 ASN.1 序列。。
java ocsp请求_java – 客户端证书上的OCSP吊销
weixin_39547596的博客
02-24 567
如果仅使用客户端的java.security.cert.X509Certificate,如何使用OCSP手动检查java的证书撤销状态?我看不清楚这样做的明确方法.或者,我可以让tomcat自动为我做,你怎么知道你的解决方案是真的?解决方法:我发现了一个最优秀的解决方案/**54 * This is a class that checks the revocation status of ...
JAVA获取服务器证书以及请求OCSP查询证书状态
davenTsang的专栏
01-03 5922
应用场景:leader需要做个监控程序扫描自己网站的服务器证书状态是否符合设置,出现异常则发短信/Email给管理人员。 假设我们要监控的URL是https://baidu.com,首先使用URL建立https通道,连接正常则服务器会发送证书回客户端。 JAVA需要用到的jar包,bouncy castle相关的包,大家自行下载。maven配置: &lt;dependency&gt; ...
行业分类-设备装置-数字证书跨信任域互通方法.zip
09-02
在IT行业数字证书是网络安全领域的一个重要概念,它用于在网络通信建立身份验证和数据加密。本主题聚焦于“数字证书跨信任域互通方法”,这涉及到如何在不同的安全域或信任环境,使得数字证书能够有效地被...
行业分类-设备装置-数字证书的生成和校验方法及设备.zip
09-10
本文将深入探讨数字证书的生成、校验方法以及相关的设备应用数字证书是一种由权威第三方机构(称为证书颁发机构,CA)签发的电子文档,用于证明网络实体(如网站、个人或设备)的身份。它包含了持有者的公开密钥...
apple-ocsp-noiser:用于 Apple Developer ID OCSP 的隐私保护噪声机
05-31
macOS以明文形式定期发送 OCSP 请求,其包含正在安装或启动的应用程序的开发人员证书的序列号。 无论是意图,请求本身都可以被网络上的任何人用作遥测; ISP、政府等 完全阻止ocsp.apple.com将阻碍 Apple 的内置...
tomcat-native-1.2.14-ocsp-win32-bin.zip
08-01
2. **NOTICE**:通常列出所有在软件使用的第三方组件及其许可信息,以确保遵循所有相关版权法规。 3. **README.txt**:这个文件通常包含安装指南、配置提示或关于软件的其他重要信息。 4. **VERSIONS**:可能列出...
行业分类-设备装置-RFC制导的SSLTLS实现数字证书验证模块的差异测试方法.zip
08-22
本主题聚焦于RFC(Request for Comments)指导下的SSL/TLS实现数字证书验证模块的差异测试方法。RFC文档是互联网工程任务组(IETF)制定的技术规范,用于标准化网络通信协议。 首先,了解SSL/TLS协议的基本原理是...
生成OCSP请求和响应的jar包
11-29
开源的生成OCSP请求和响应的jar包,很好用,可以试一下
revoker:CRL分发点和OCSP响应程序的Java实现
04-30
介绍 该存储库包含Java 8的证书吊销列表(CRL)分发点和在线证书状态协议(OCSP)响应程序的实现。 概述 此应用程序是Dropwizard应用程序,可以响应给定CA的CRL请求和OCSP请求。 您需要为应用程序提供对CA索引文件的访问权限,该索引文件实际上是CA的数据库,crl文件以及一个Java密钥库,其包含用于签名OCSP响应的密钥和证书链。 这些都在conf.yml文件完成。 运行应用程序 要测试该应用程序,请运行以下命令。 要打包应用程序,请运行: mvn package 要运行服务器,请运行: java -jar target/revoker-0.1.0.jar server conf.yml 要使用管理员操作菜单,请浏览器浏览至: http://localhost:8081 您可以使用以下openssl命令来测试OCSP是否正常工作 openssl ocsp
java ocsp请求_OpenSSL OCSP状态请求扩展存在严重漏洞
weixin_32818577的博客
02-24 316
OpenSSL OCSP状态请求扩展存在严重漏洞发布时间:2018-11-22 10:37:569月22日,OpenSSL修复了OCSP状态请求扩展严重漏洞,这是其修复的14个漏洞最为严重的一个。漏洞概述Open SSL OCSP 状态请求扩展存在严重漏洞,该漏洞令恶意客户端能耗尽服务器内存。利用该漏洞,能使默认配置的服务器在每次协议重商时分配一段 OCSP ids 内存, 不断重复协商可令服务...
必须指定OCSP响应程序的位置– Java
一名可爱的技术搬运工
05-18 299
在尝试运行Java Web Start应用程序时,遇到以下PKIX,一些证书错误 PKIX路径验证失败:java.security.cert.CertPathValidatorException:必须指定OCSP响应程序的位置 sun.security.validator.ValidatorException: PKIX path validation failed: java.s...
OCSP服务器SSL证书
统诚至信提供一站式SSL/https证书、SSL/https检测解决方案,包括SSL域名证书、代码签名证书、邮件签名证书、文档签名证书、国密证书、IP证书;支持DV、OV、EV、多域名、通配符证书类型,Digicert、Geotrust、Symantec、
07-05 439
服务器在线证书状态协议(OCSP)使应用程序可以确定已标识证书的(吊销)状态。通常 CA 会将证书OCSP服务器部署在在境外。国内应用或网站因在验证时耗时过长导致页面加载比较慢。国内拥有OCSP节点的证书能够完美的解决这一问题!普遍的SSL证书读是海外OCSP,性能太卡,会导致网站打开卡3~8秒,APP启动3~5秒大陆OCSP在性能上具有明显的优势,能让APP启动、网站打开缩短到3~40毫秒。符合三项SSL证书内的仅有2个品牌支持OCSP,GlobalSign和Digicert,我们可以看出Global
ocsp java,java apis用于证书吊销检查
weixin_30899789的博客
02-12 297
Java supports OCSP out of the box.The way it is being done though, (I mean the revocation check) is transparent to the programmer.My question is, is there any api (part of java) that can create a vali...
数字证书相关专业名词(下)---OCSP及其java应用(2)
2201_75604341的博客
04-07 1003
/获取accessMethod//如果是OCSP类型,则获取accessLocation// 区别于itext源码,不获取ldap协议地址continue;return “”;else {我们debug可以看一下在获取数字证书OCSP URL时,AccessDescription就是包含OCSP地址信息的ASN.1结构。
java ocsp校验_Nginx使用OCSP验证客户端证书
weixin_39747755的博客
02-25 889
此前,Nginx只支持OSCP验证服务器证书。目前,Nginx 1.19.0+已经支持使用OSCP验证客户端证书:https://trac.nginx.org/nginx/ticket/1534有关Nginx双向证书验证的详细配置可以参考笔者的《Nginx双向证书校验(服务器验证客户端证书)》一文。如下配置:server {listen 50443;ssl on;server_name examp...
配置BIG-IP系统以使用OCSP响应器进行SSL证书验证
在网络安全和证书验证OCSP是一种实时检查X.509数字证书状态的协议,确保证书在使用时未被撤销。在BIG-IP系统,配置OCSP响应器能够增强SSL/TLS连接的安全性,通过查询OCSP服务器来验证客户端或服务器端证书的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值