ocsp java_OpenSSL 通过OCSP手动验证证书

最新推荐文章于 2024-08-15 02:24:15 发布
最新推荐文章于 2024-08-15 02:24:15 发布
阅读量838 收藏 2
点赞数
文章标签: ocsp java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36212212/article/details/114074025
版权
本文详细介绍了如何使用OpenSSL工具通过OCSP(在线证书状态协议)验证证书的状态,包括获取证书、获取证书链、发送OCSP请求以及处理证书吊销等步骤。通过OCSP验证可以有效地检查证书的有效性,避免使用被吊销的证书。
摘要由CSDN通过智能技术生成

翻译:https://raymii.org/s/articles/OpenSSL_Manually_Verify_a_certificate_against_an_OCSP.html?utm_source=tuicool&utm_medium=referral

目录:

1、ocsp客户端获取证书

2、获取证书信任链

3、发送ocsp请求

4、吊销证书

5、其他错误

这篇文章主要用来说明如何借助ocsp服务器来验证证书。ocsp(The Online Certificate Status Protocol)是一种验证证书状态的一种方式,也是CRL(certificate revocation list)证书吊销的一种替代方式。

与传统的CRL比较有以下特点:

由于相对于传统的CRL,一个ocsp响应包含的信息更少,故ocsp能够更有效利用网络和客户资源

用OCSP,客户无需自己解析CRL证书吊销列表,但是客户需要存储状态信息,而由于客户侧需要维护存储缓存,故导致存储信息很复杂。在实际使用中,这点带来的影响却很小,由于第三库提供的相关接口已经帮我们完成此类工作

OCSP通过专用网络、专用证书、在特定的时间公开其服务。OCSP不强制加密,故可能带来信息泄露的风险。

此文章中用到的openssl的版本为:OpenSSL 1.0.1g 7 Apr 2014

1、获取证书用于ocsp验证

首先,我们将从一个网站上获取一个证书,这里我们用Wikipedia作为样例来进行。我们获取证书通过如下命令:

openssl s_client -connect wikipedia.org:443 2&

最低0.47元/天 解锁文章
ForAui
关注
revoker:CRL分发点和OCSP响应程序的Java实现
04-30
介绍 该存储库包含Java 8的证书吊销列表(CRL)分发点和在线证书状态协议(OCSP)响应程序的实现。 概述 此应用程序是Dropwizard应用程序,可以响应给定CA的CRL请求和OCSP请求。 您需要为应用程序提供对CA索引文件的访问权限,该索引文件实际上是CA的数据库,crl文件以及一个Java密钥库,其中包含用于签名OCSP响应的密钥和证书链。 这些都在conf.yml文件中完成。 运行应用程序 要测试该应用程序,请运行以下命令。 要打包应用程序,请运行: mvn package 要运行服务器,请运行: java -jar target/revoker-0.1.0.jar server conf.yml 要使用管理员操作菜单,请浏览器浏览至: http://localhost:8081 您可以使用以下openssl命令来测试OCSP是否正常工作 openssl ocsp
ocsp java,java apis用于证书吊销检查
weixin_30899789的博客
02-12 305
Java supports OCSP out of the box.The way it is being done though, (I mean the revocation check) is transparent to the programmer.My question is, is there any api (part of java) that can create a vali...
在线证书状态协议 (OCSP) 详解及其应用
weixin_37085861的博客
08-15 306
一、什么是OCSP?在线证书状态协议(Online Certificate Status Protocol,OCSP)是一种验证X.509数字证书状态的方法。它通过向OCSP服务器(通常是证书颁发机构(CA)提供的)发送请求来检查证书是否被吊销,相较于传统的证书吊销列表(CRL)方式,OCSP更为高效。二、OCSP的工作原...
JAVA获取服务器证书以及请求OCSP查询证书状态
davenTsang的专栏
01-03 6020
应用场景:leader需要做个监控程序扫描自己网站的服务器证书状态是否符合设置,出现异常则发短信/Email给管理人员。 假设我们要监控的URL是https://baidu.com,首先使用URL建立https通道,连接正常则服务器会发送证书回客户端。 JAVA需要用到的jar包,bouncy castle相关的包,大家自行下载。maven配置: <dependency> ...
生成OCSP请求和响应的jar包
11-29
开源的生成OCSP请求和响应的jar包,很好用,可以试一下
数字证书的相关专业名词(下)---OCSP及其java中的应用
学习不止境的博客
04-13 3516
该篇文章讲述如何获取OCSP地址以及通过OCSP地址获取OCSP响应结果
java ocsp请求_java – 客户端证书上的OCSP吊销
weixin_39547596的博客
02-24 574
如果仅使用客户端的java.security.cert.X509Certificate,如何使用OCSP手动检查java中的证书撤销状态?我看不清楚这样做的明确方法.或者,我可以让tomcat自动为我做,你怎么知道你的解决方案是真的?解决方法:我发现了一个最优秀的解决方案/**54 * This is a class that checks the revocation status of ...
java ocsp请求_OpenSSL OCSP状态请求扩展存在严重漏洞
weixin_32818577的博客
02-24 329
OpenSSL OCSP状态请求扩展存在严重漏洞发布时间:2018-11-22 10:37:569月22日,OpenSSL修复了OCSP状态请求扩展严重漏洞,这是其修复的14个漏洞中最为严重的一个。漏洞概述Open SSL OCSP 状态请求扩展存在严重漏洞,该漏洞令恶意客户端能耗尽服务器内存。利用该漏洞,能使默认配置的服务器在每次协议重商时分配一段 OCSP ids 内存, 不断重复协商可令服务...
Online Certificate Status Protocol (OCSP)协议概述
热门推荐
吃喝玩乐我最擅长
05-22 1万+
在线证书状态协议(OCSP)简介
在线证书状态协议-OCSP
11-26
在线证书状态协议-OCSP 在线证书状态协议-OCSP介绍及用法
ca.rar_CA_ca派发自宿主_ca证书_openssl CISOCA_证书
09-22
标题中的"ca.rar_CA_ca派发自宿主_ca证书_openssl CISOCA_证书"表明这个压缩包文件与创建和管理数字证书有关,特别是涉及到一个自签名的证书颁发机构(CA)。CA是互联网安全中至关重要的部分,它负责验证并签发数字...
如何在C++中用Openssl处理OCSP( Online Certificate Status Protocol)响应,发出OCSP_RESPOND
09-10
使用`OCSP_request_create()`函数创建一个新的OCSP请求结构,并设置相关信息如证书、时间戳等。 ```cpp OCSP_REQUEST *req = OCSP_request_create(); X509 *cert = // 从你的程序中获取待验证证书 ... ``` 3. *...
如何在C++中作为OCSP服务器用Openssl处理OCSP( Online Certificate Status Protocol)响应
最新发布
09-10
X509_OCSP_REQUEST* request = d2i_X509_OCSP_REQUEST(nullptr, &ocsp_request_data.c_str()); if (!request) { // 处理错误... } ``` 3. **获取OCSP响应**:使用`OCSP_RESPONDENT_INFO`结构体从CA的OCSP服务器...
封装一个OCSPRequest结构体请求(signedReq)
爱java的小蓝的博客
03-13 1506
按照OCSPRequest的请求语法,参照OCSP在线证书状态协议封装一个不含签名的请求signedReq串。 代码: package com.xdja.asn1; import org.bouncycastle.asn1.*; import org.bouncycastle.asn1.ocsp.CertID; import org.bouncycastle.asn1.ocsp.OCSPR...
ocsp服务器的证书状态如何查询,配置 OCSP 证书状态
weixin_36102930的博客
07-29 453
This Preview product documentation is Citrix Confidential.You agree to hold this documentation confidential pursuant to theterms of your Citrix Beta/Tech Preview Agreement.The development, release and...
ocsp服务器的证书状态如何查询,站点ocsp stapling检查、检查https 站点ocsp stapling配置、检查站点证书吊销状态信息...
weixin_30236323的博客
07-29 866
https://www.bing.com检测结果ocsp stapling:支持原始信息OCSP Response Status: successful (0x0)Response Type: Basic OCSP ResponseVersion: 1 (0x0)Responder Id: 108A72F9F95647F20B2CDBD20458484E0B24DCF3Produced At: O...
必须指定OCSP响应程序的位置– Java
一名可爱的技术搬运工
05-18 309
在尝试运行Java Web Start应用程序时,遇到以下PKIX,一些证书错误 PKIX路径验证失败:java.security.cert.CertPathValidatorException:必须指定OCSP响应程序的位置 sun.security.validator.ValidatorException: PKIX path validation failed: java.s...
【转载】证书的有效性管理和验证—CRL及OCSP的异曲同工之妙
记事本
08-19 726
怎样验证数字证书    数字证书号称是网上的身份证。网上交易者通过交易对象的数字证书对其产生信任,并能够使用和证书绑定的公钥和交易对象通信,这是PKI认证机制的基本宗旨。但是,当网上交易者从交易对象那里直接获取,或通过访问CA证书库等不同途径得到了交易对象的数字证书以后,这张证书不经过验证是不能放心使用的。验证由安全认证应用软件执行,验证需要包括以下的内容:· 证书完整性验证。即确认这个证书没有被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值