CRL校验与OCSP套封

最新推荐文章于 2024-03-12 14:15:00 发布
最新推荐文章于 2024-03-12 14:15:00 发布
阅读量2.2k 收藏 2
点赞数 1
分类专栏: 网络工程 文章标签: CRL OCSP 证书校验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/justinzengTM/article/details/104614922
版权
上一篇日志利用CSR文件生成自签名证书,接下来可以进行CRL校验和OCSP校验,两者都是校验证书的吊销状态,区别在于校验的方式不同,CRL需要校验方从CRL分发点下载CRLs吊销列表文件,OCSP则是一种在线证书状态协议,校验方发送OCSP请求查询证书的吊销状态,然后接收带有吊销状态信息的OCSP响应完成校验。CRL校验CRL标准属于TLS/SSL协议的一部分,CA机构会把所有自己签...
摘要由CSDN通过智能技术生成

上一篇日志利用CSR文件生成自签名证书,接下来可以进行CRL校验和OCSP校验,两者都是校验证书的吊销状态,区别在于校验的方式不同,CRL需要校验方从CRL分发点下载CRLs吊销列表文件,OCSP则是一种在线证书状态协议,校验方发送OCSP请求查询证书的吊销状态,然后接收带有吊销状态信息的OCSP响应完成校验。

 

CRL校验

CRL标准属于TLS/SSL协议的一部分,CA机构会把所有自己签发的已被吊销的证书放到一个文件CRLs中,包括证书的序列号和吊销原因,身份校验方下载完证书吊销列表后,根据序列号查找来判断证书的吊销状态。

手动校验

手动校验的方式需要我们从证书中找到CRL分发点,然后从这个分发点下载CRL文件,从中根据证书序列号查找证书是否存在吊销列表中。

如果你的证书是cer格式的,可以先格式转换成pem格式,然后继续使用openssl命令行,打开这个pem格式的证书。查看证书可以看到很多的信息,如服务器公钥,使用的签名算法等,我们要寻找的是它的CRL分发点,即找到CRL Distribution Points:</

最低0.47元/天 解锁文章
大力海棠
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CRL问题与OCSP
大力海棠的博客
02-17 5107
从证书的扩展项CRL分发点可以看到,CRL证书吊销列表,是服务器身份验证的一部分,验证证书除了校验签名值外,还要校验证书的吊销状态,如果一张证书已过期,或者被吊销,那么身份校验失败。要注意的是,证书过期并不代表其被吊销,证书过期了便无效,如果证书没有过期,但因为某种原因被吊销了,也一样无效。我们知道,浏览器校验证书吊销状态时,会通过CRL分发点找到CRLs文件的URL,然后去下载CRLs文件,从中...
java crl在线校验_默认情况下防止NSP和访客流的Java更新强制执行CRL检查
weixin_32258195的博客
02-28 214
简介本文描述遇到的问题最新的Java更新中断使用访问控制列表(ACL)和重定向的请求方设置和一些访客流的地方。背景信息错误在CiscoSPWDownloadFacilitator并且读“失败验证证书。应用程序不会被执行”。 如果点击更多信息,您收到抱怨证书撤销列表(CRL)的输出。java.security.cert.CertificateException: java.security.cert...
证书的有效性管理和验证—CRLOCSP的异曲同工之妙
云守护的专栏
04-29 2400
转自https://www.cfca.com.cn/20150811/101230759.html https://www.secpulse.com/archives/113075.html   怎样验证数字证书    数字证书号称是网上的身份证。网上交易者通过交易对象的数字证书对其产生信任,并能够使用和证书绑定的公钥和交易对象通信,这是PKI认证机制的基本宗旨。但是,当网上交易者从交易对象那里直接获取,或通过访问CA证书库等不同途径得到了交易对象的数字证书以后,这张证书不经过验证是不能放心使用的。验
OS X:OCSPCRL的设置
中国在线教育
06-22 3356
为了能使Safari自动地废止被废弃的认证,需要在用户的Keychain中设置OCSPCRL打开: Keychain Access程序中的Preferences, Certificates标签中,使用OCSP:和CRL: 并设置为Best Attempt,而优先级使用默认即可。 或者使用命令行: To set the CRL settings:defaul
CRL的验证
weixin_34348805的博客
06-11 1140
验证在Client的证书,是否通过CA的CRL验证. 1.打开浏览器,输入目标的网址 https:// 2.在URL的旁边,打开Server的证书 3.在证书的Details Tabs里,找到CRL distribution 的位置 4.复制里面的URL 5.打开CMD,输入 certutil -URL <你从第4步得到的URL> 6.会弹出一个Win 窗口,按...
bouncycastle.zip
10-26
相比传统的CRL(Certificate Revocation List)机制,OCSP提供了更快的响应时间和更高的可用性。 2. **Bouncy Castle库**:Bouncy Castle是一个开源的Java加密库,提供了一整套密码学算法,包括签名、加密、密钥...
http与https权威指南
05-26
PKI是公钥密码技术的基础设施,它包括证书、证书吊销列表(CRL)、在线证书状态协议(OCSP)以及证书颁发机构等一系列机制,用于管理公钥的安全分发和验证。PKI使得在不安全的网络环境中可以安全地交换私密信息。 ...
行业分类-设备装置-数字证书的生成和校验方法及设备.zip
09-10
4. **验证证书状态**:通过查询在线证书状态协议(OCSP)或证书撤销列表(CRL)来确认证书是否已被撤销。 5. **公钥验证**:使用公钥进行加密通信,如果能成功,表明公钥有效。 **设备装置中的应用:** 在设备装置...
国密数字证书验证-SM2、SM3、SM4
11-22
4. 验证证书吊销状态:查询证书撤销列表(CRL)或使用在线证书状态协议(OCSP)检查证书是否已被撤销。 在实际应用中,使用国密算法的数字证书不仅适用于互联网通信,还广泛应用于政府、金融、电信等行业,满足国内...
Python数字证书分析
07-21
在实际工作中,我们还需要关注证书撤销列表(CRL)和在线证书状态协议(OCSP)以检查证书的状态,防止使用已被撤销的证书。 总之,Python为数字证书的分析提供了强大的支持,结合相应的库,我们可以轻松地获取和...
revoker:CRL分发点和OCSP响应程序的Java实现
04-30
介绍 该存储库包含Java 8的证书吊销列表(CRL)分发点和在线证书状态协议(OCSP)响应程序的实现。 概述 此应用程序是Dropwizard应用程序,可以响应给定CA的CRL请求和OCSP请求。 您需要为应用程序提供对CA索引文件的访问权限,该索引文件实际上是CA的数据库,crl文件以及一个Java密钥库,其中包含用于签名OCSP响应的密钥和证书链。 这些都在conf.yml文件中完成。 运行应用程序 要测试该应用程序,请运行以下命令。 要打包应用程序,请运行: mvn package 要运行服务器,请运行: java -jar target/revoker-0.1.0.jar server conf.yml 要使用管理员操作菜单,请浏览器浏览至: http://localhost:8081 您可以使用以下openssl命令来测试OCSP是否正常工作 openssl ocsp
证书和CRL详解
05-01
详细介绍了证书及CRL的各扩展释义,有助于加深对证书的了解
java ocsp请求_java – 客户端证书上的OCSP吊销
weixin_39547596的博客
02-24 562
如果仅使用客户端的java.security.cert.X509Certificate,如何使用OCSP手动检查java中的证书撤销状态?我看不清楚这样做的明确方法.或者,我可以让tomcat自动为我做,你怎么知道你的解决方案是真的?解决方法:我发现了一个最优秀的解决方案/**54 * This is a class that checks the revocation status of ...
PKI术语:CRL、增量 CRL、CTL、OCSP、LDAP、AIA、CDP、名称约束、证书模板
smmi的专栏
10-19 3043
1. 证书吊销列表 (CRL):由 CA 颁发的数字签名列表,其中包括由 CA 颁发而且已经被吊销的证书。该列表包括被吊销证书序列号、证书被吊销的日期和吊销原因。应用程序能够执行 CRL 检查以便确定所示证书的吊销状态,也称为基本 CRL(相对于增量CRL)。 2. 增量 CRL:包括自从发布上一个基本 CRL 以来被吊销的证书列表的 CRL。增量 CRL 经常被用于吊销大量证书,以便优化带...
密码学系列之:在线证书状态协议OCSP详解
程序那些事
07-06 2660
我们在进行网页访问的时候会跟各种各样的证书打交道,比如在访问https网页的时候,需要检测https网站的证书有效性。OCSP就是一种校验协议,用于获取X.509数字证书的撤销状态。它是为了替换CRL而出现的。本文将会详细介绍OCSP的实现和优点。我们知道在PKI架构中,CA证书是非常重要的组件,客户端通过CA证书来验证服务的可靠性。对于CA证书本身来说在创建的时候是可以指定过期时间的。这样证书在过期之后就不可以使用,需要申请新的证书。但是只给证书指定过期时间是不够的,比如我们因为业务的需求,需要撤销证书怎
数字证书的相关专业名词(中)---根证书和CRL,以及java中CRL的获取和验证方法
最新发布
qq_44005305的博客
03-12 1239
上篇文章我们主要了解了PKI中的数字证书和PKCS,这篇文章我们主要了解一下根证书,以及OCSPCRL。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)
选择验证CRL的最优算法
smmi的专栏
11-03 348
前提     拥有多个证书吊销列表CRL,给定一个证书,验证这个证书是否被吊销。   分析     目前想到有三个方法来实现。 循环所有CRL来验证证书 循环所有CRL,判断哪个CRL的颁发者与证书颁发者相同,使用这个CRL来验证证书 加载CRL时与颁发者DN绑定,根据证书颁发者DN获得该CRL对象来验证证书 实现     第一种算法是采用for循环实现     第二种算法...
数字证书的相关专业名词(下)---OCSP及其java中的应用
学习不止境的博客
04-13 3109
该篇文章讲述如何获取OCSP地址以及通过OCSP地址获取OCSP响应结果
OCSP检查数字证书状态详解
N阶二进制的博客
12-09 2258
OCSP(Online Certificate Status Protocol)是一种用于检查数字证书状态的协议。它提供了一种实时查询证书状态的方式,以确定证书是否被吊销。
PKI配置详解:SCEP与OCSP关键操作与故障排查
5. **CRLOCSP**: - CRL用于管理证书的有效性和吊销状态,OCSP则提供了实时查询证书状态的服务。文档详细介绍了如何配置OCSP URL,以及故障诊断方法,如防火墙问题和URL配置错误等。 6. **SCEP**: - SCEP用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值