OCSP 库与 Python、Java 和 C 的集成

于 2024-05-14 15:58:06 发布
阅读量335 收藏 5
点赞数 3
文章标签: python java c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/D0126_/article/details/138858533
版权

在进行证书吊销检查时,我们需要用到 OCSP 协议。OCSP 是一种在线证书状态协议,用于查询证书是否被吊销。为了实现证书吊销检查功能,我们需要用到 OCSP 库。然而,对于 Python、Java 和 C 语言来说,要找到可靠的 OCSP 库却并非易事。特别是,我们需要的是 “客户端” OCSP 功能,用于检查证书的状态,而 “响应器” 功能则并不重要。

在这里插入图片描述

2、解决方案

针对上述问题,可以采用以下解决方案:

  1. Python:pyOpenSSL 库提供了对 OCSP 的支持,且与 OpenSSL 进行了绑定。OpenSSL 是最广泛使用的 OCSP 库,因此 pyOpenSSL 也继承了其可靠性。在 Python 中使用 pyOpenSSL,可以参考以下代码示例:
from OpenSSL import crypto

# 加载要检查的证书
cert = crypto.load_certificate(crypto.FILETYPE_PEM, open('cert.pem').read())

# 创建 OCSP 请求并发送
request = crypto.OCSPRequest()
request.add_cert(cert)
response = request.send()

# 检查 OCSP 响应
status = response.status()
if status == crypto.OCSP_RESPONSE_STATUS_GOOD:
    print("证书有效")
elif status == crypto.OCSP_RESPONSE_STATUS_REVOKED:
    print("证书已吊销")
else:
    print("证书状态未知")
  1. Java:Java 5 内置了 OCSP 吊销检查支持。如果要构建 OCSP 响应器或更精细地控制吊销检查,可以考虑使用 Bouncy Castle 库。Bouncy Castle 提供了自定义 CertPathChecker 的功能,例如,使用非阻塞 I/O 进行状态检查。以下是使用 Bouncy Castle 实现 OCSP 请求的 Java 代码示例:
import org.bouncycastle.ocsp.*;

// 加载要检查的证书
CertificateID certID = new CertificateID(MessageDigest.getInstance("SHA1"), cert.getSerialNumber(), cert.getIssuerAsBytes());

// 创建 OCSP 请求并发送
OCSPReq request = new OCSPReqBuilder().addRequest(certID).build();
byte[] responseBytes = ocspResponder.getOCSPResponse(request.getEncoded());

// 检查 OCSP 响应
OCSPResp response = new OCSPResp(responseBytes);
OCSPRespStatus status = response.getStatus();
if (status == OCSPRespStatus.SUCCESSFUL) {
    System.out.println("证书有效");
} else if (status == OCSPRespStatus.REVOKED) {
    System.out.println("证书已吊销");
} else {
    System.out.println("证书状态未知");
}
  1. C:OpenSSL 是 C 语言中最广泛使用的 OCSP 库。OpenSSL 非常可靠,但它的使用较为复杂。要使用 OpenSSL 实现 OCSP 请求,可以参考以下代码示例:
#include <openssl/ocsp.h>

// 加载要检查的证书
X509 *cert = X509_new();
X509_load_cert_file(cert, "cert.pem", X509_FILETYPE_PEM);

// 创建 OCSP 请求并发送
OCSP_REQUEST *request = OCSP_REQUEST_new();
OCSP_cert_id_set_certificate_id(request->reqCert, cert);
OCSP_RESPONSE *response = OCSP_send_request(ocspResponder, request, NULL, -1);

// 检查 OCSP 响应
int status = OCSP_response_status(response);
if (status == OCSP_RESPONSE_STATUS_GOOD) {
    printf("证书有效\n");
} else if (status == OCSP_RESPONSE_STATUS_REVOKED) {
    printf("证书已吊销\n");
} else {
    printf("证书状态未知\n");
}

// 释放资源
OCSP_REQUEST_free(request);
OCSP_RESPONSE_free(response);
X509_free(cert);

总之,上述解决方案提供了在 Python、Java 和 C 语言中使用 OCSP 库来检查证书吊销的方法。这些解决方案均可靠且易于使用。

qq^^614136809
关注
revoker:CRL分发点和OCSP响应程序的Java实现
04-30
介绍 该存储包含Java 8的证书吊销列表(CRL)分发点和在线证书状态协议(OCSP)响应程序的实现。 概述 此应用程序是Dropwizard应用程序,可以响应给定CA的CRL请求和OCSP请求。 您需要为应用程序提供对CA索引文件的访问权限,该索引文件实际上是CA的数据,crl文件以及一个Java密钥,其中包含用于签名OCSP响应的密钥和证书链。 这些都在conf.yml文件中完成。 运行应用程序 要测试该应用程序,请运行以下命令。 要打包应用程序,请运行: mvn package 要运行服务器,请运行: java -jar target/revoker-0.1.0.jar server conf.yml 要使用管理员操作菜单,请浏览器浏览至: http://localhost:8081 您可以使用以下openssl命令来测试OCSP是否正常工作 openssl ocsp
百度HTTPS性能优化经验
AIOps智能运维
11-09 603
前言上文讲到HTTPS对用户访问速度的影响。今天将为大家介绍百度在访问速度、计算性能、安全等方面对HTTPS进行优化的经验方法。HTTPS访问速度优化1TCP Fast ...
ocsp java_OpenSSL 通过OCSP手动验证证书
weixin_36212212的博客
02-12 852
翻译:https://raymii.org/s/articles/OpenSSL_Manually_Verify_a_certificate_against_an_OCSP.html?utm_source=tuicool&utm_medium=referral目录:1、ocsp客户端获取证书2、获取证书信任链3、发送ocsp请求4、吊销证书5、其他错误这篇文章主要用来说明如何借助ocsp服...
必须指定OCSP响应程序的位置– Java
一名可爱的技术搬运工
05-18 319
在尝试运行Java Web Start应用程序时,遇到以下PKIX,一些证书错误 PKIX路径验证失败:java.security.cert.CertPathValidatorException:必须指定OCSP响应程序的位置 sun.security.validator.ValidatorException: PKIX path validation failed: java.s...
数字证书的相关专业名词(下)---OCSP及其java中的应用
学习不止境的博客
04-13 3626
该篇文章讲述如何获取OCSP地址以及通过OCSP地址获取OCSP响应结果
java ocsp请求_java – 客户端证书上的OCSP吊销
weixin_39547596的博客
02-24 585
如果仅使用客户端的java.security.cert.X509Certificate,如何使用OCSP手动检查java中的证书撤销状态?我看不清楚这样做的明确方法.或者,我可以让tomcat自动为我做,你怎么知道你的解决方案是真的?解决方法:我发现了一个最优秀的解决方案/**54 * This is a class that checks the revocation status of ...
ocsp java,java apis用于证书吊销检查
weixin_30899789的博客
02-12 320
Java supports OCSP out of the box.The way it is being done though, (I mean the revocation check) is transparent to the programmer.My question is, is there any api (part of java) that can create a vali...
如何在Ubuntu 20.04上设置和配置证书颁发机构(CA)
08-15 6302
介绍 (Introduction) A Certificate Authority (CA) is an entity responsible for issuing digital certificates to verify identities on the internet. Although public CAs are a popular choice for verifying t...
debian10安装配置_如何在Debian 10上设置和配置证书颁发机构(CA)
08-15 5821
debian10安装配置 介绍 (Introduction) A Certificate Authority (CA) is an entity responsible for issuing digital certificates to verify identities on the internet. Although public CAs are a popular choice for...
centos 配置证书_如何在CentOS 8上设置和配置证书颁发机构(CA)
08-16 3883
centos 配置证书 介绍 (Introduction) A Certificate Authority (CA) is an entity responsible for issuing digital certificates to verify identities on the internet. Although public CAs are a popular choice for ...
生成OCSP请求和响应的jar包
11-29
开源的生成OCSP请求和响应的jar包,很好用,可以试一下
ocpp:开放收费点协议(OCPP)的Python实现
02-05
ocpp:开放收费点协议(OCPP)的Python实现
在线证书状态协议-OCSP
11-26
在线证书状态协议-OCSP 在线证书状态协议-OCSP介绍及用法
写给开发人员的实用密码学 - 数字证书
云水木石
04-15 1640
在数字签名部分,我们讲到数字签名可以起到“防抵赖”的作用。然而,在开放的互联网环境中,通信的双方通常是互不相识,数字签名并不能解决身份认证的问题。比如在数字签名中,私钥签名,公钥验证签名。...
JSch 在工作中遇到的相关问题
guohao_Kwok的博客
10-09 955
一、JSch简介 JSch 是SSH2的一个纯Java实现。它允许你连接到一个sshd 服务器,使用端口转发,X11转发,文件传输等等。你可以将它的功能集成到你自己的...
数字证书的相关专业名词(下)---OCSP及其java中的应用(2)
最新发布
2201_75604341的博客
04-07 1029
/获取accessMethod//如果是OCSP类型,则获取accessLocation// 区别于itext源码,不获取ldap协议地址continue;return “”;else {我们debug可以看一下在获取数字证书中的OCSP URL时,AccessDescription就是包含OCSP地址信息的ASN.1结构。
java ocsp请求_OpenSSL OCSP状态请求扩展存在严重漏洞
weixin_32818577的博客
02-24 340
OpenSSL OCSP状态请求扩展存在严重漏洞发布时间:2018-11-22 10:37:569月22日,OpenSSL修复了OCSP状态请求扩展严重漏洞,这是其修复的14个漏洞中最为严重的一个。漏洞概述Open SSL OCSP 状态请求扩展存在严重漏洞,该漏洞令恶意客户端能耗尽服务器内存。利用该漏洞,能使默认配置的服务器在每次协议重商时分配一段 OCSP ids 内存, 不断重复协商可令服务...
JAVA获取服务器证书以及请求OCSP查询证书状态
davenTsang的专栏
01-03 6085
应用场景:leader需要做个监控程序扫描自己网站的服务器证书状态是否符合设置,出现异常则发短信/Email给管理人员。 假设我们要监控的URL是https://baidu.com,首先使用URL建立https通道,连接正常则服务器会发送证书回客户端。 JAVA需要用到的jar包,bouncy castle相关的包,大家自行下载。maven配置: &lt;dependency&gt; ...
OCSP介绍以及使用OpenSSL编程实现
lt4959的专栏
10-15 5351
首先我们知道在PKI体系中,证书的生命周期如下所示, 对于一个可信任的 CA 机构颁发的有效证书,在证书到期之前,只要 CA 没有把其吊销,那么这个证书就是有效可信任的。有时,由于某些特殊原因(比如私钥泄漏,证书信息有误,CA 有漏洞被黑客利用,颁发了其他域名的证书等等),需要吊销某些证书。那浏览器或者客户端如何知道当前使用的证书已经被吊销了呢?为解决对CA证书有效性方面的查询,PKI引入了CRL(Certificate Revocation List)和OCSP(Online Certificate
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值