是否可以撤销有效的 SSL 证书
Is it possible to revoke a valid SSL certificate
我们的客户要求我们迁移面向内部的 Java 项目列表,以使用 SSL 进行可能敏感的 REST 调用。他们计划在内部生成和签署证书。
我担心万一证书被泄露,应用程序可能希望吊销他们的证书。
是否可以在不更改主服务器的情况下以编程方式吊销证书?好像hash签名一旦建立,就没有办法撤销了,那么Verisign这样的机构是怎么做到的呢?
证书包括如何检查吊销信息的一部分,通常是 CRL(证书吊销列表)或在线服务 OCSP(在线证书状态协议)
认证服务提供商通过将证书包含在 CRL 及其 OCSP 服务中来吊销证书。当客户想要检查证书吊销时,下载 CRL 以检查或执行 OCSP 请求
要做到这一点,您需要:
1)拥有OCSP服务和/或CRL
2) 在自生成的证书中包含URL到OCSP/CRL。
3) 吊销证书,将它们包含在您的吊销服务列表中
例如,对于安全的 HTTPS 网站,浏览器负责执行撤销检查。然而Google decided in 2012 to default Chrome not to check for certificate revocation on non-EV certificates
因此,请注意撤销控制是客户的责任,不能这样做
吊销证书而不删除签署该证书的证书颁发机构是使用证书的基础之一。
如上所述,有两种方法可以检查证书是否被吊销:通过专用服务器 (OCSP) 检查或检查您经常下载的静态文件 (CRL)。
您可以使用 openssl 轻松设置测试 OCSP 服务器。
您还可以使用 openssl 生成 CRL 文件。 CRL 文件看起来有点像证书或 csr(通常以 base 64 格式保存)。您可以在此处使用在线 CRL 解码器:
http://developerutils.com/CRLDecoder.php
我们的客户要求我们迁移面向内部的 Java 项目列表,以使用 SSL 进行可能敏感的 REST 调用。他们计划在内部生成和签署证书。
我担心万一证书被泄露,应用程序可能希望吊销他们的证书。
是否可以在不更改主服务器的情况下以编程方式吊销证书?好像hash签名一旦建立,就没有办法撤销了,那么Verisign这样的机构是怎么做到的呢?
证书包括如何检查吊销信息的一部分,通常是 CRL(证书吊销列表)或在线服务 OCSP(在线证书状态协议)
认证服务提供商通过将证书包含在 CRL 及其 OCSP 服务中来吊销证书。当客户想要检查证书吊销时,下载 CRL 以检查或执行 OCSP 请求
要做到这一点,您需要: 1)拥有OCSP服务和/或CRL 2) 在自生成的证书中包含URL到OCSP/CRL。 3) 吊销证书,将它们包含在您的吊销服务列表中
例如,对于安全的 HTTPS 网站,浏览器负责执行撤销检查。然而Google decided in 2012 to default Chrome not to check for certificate revocation on non-EV certificates
因此,请注意撤销控制是客户的责任,不能这样做
吊销证书而不删除签署该证书的证书颁发机构是使用证书的基础之一。
如上所述,有两种方法可以检查证书是否被吊销:通过专用服务器 (OCSP) 检查或检查您经常下载的静态文件 (CRL)。
您可以使用 openssl 轻松设置测试 OCSP 服务器。 您还可以使用 openssl 生成 CRL 文件。 CRL 文件看起来有点像证书或 csr(通常以 base 64 格式保存)。您可以在此处使用在线 CRL 解码器: http://developerutils.com/CRLDecoder.php