Java SSL 证书吊销检查
Java SSL Certificate Revocation Checking
我目前正在使用 SSL 编写网络 TCP 服务器。在生产中,我们最终会要求客户使用证书进行身份验证。
为了在紧急情况下吊销证书,我们还想建立一个CRL。
我的问题是:Java 是开箱即用地检查 CRL(如果随证书一起提供)还是我需要手动执行此类检查?
为了测试,我准备了一个带有 CRL 集的证书,但 Java 似乎没有尝试验证它(我将它放入本地 Web 服务器,但没有访问权限)。
我只找到了 com.sun.net.ssl.checkRevocation=true VM 选项,但显然它没有查询 CRL。 VM 调试设置为 java.security.debug=certpath 不生成任何输出,或者...
Java 似乎在其子系统中有相关的 类(例如 java.security.cert.X509CRLSelector),但它没有发挥作用, 显然.
编辑:删除了过时的 Dropbox link
我想出了如何在不实现自定义验证器的情况下在 SSLContext 中启用 CRL 检查,如评论中所建议的那样。
主要是关于使用撤销检查器正确初始化 SSLContext 的 TrustManagers,只有几行,没有自定义检查逻辑,现在自动检查 CRL 以及验证路径。
这是一个片段...
KeyStore ts = KeyStore.getInstance("JKS");
FileInputStream tfis = new FileInputStream(trustStorePath);
ts.load(tfis, trustStorePass.toCharArray());
KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
// initialize certification path checking for the offered certificates and revocation checks against CLRs
CertPathBuilder cpb = CertPathBuilder.getInstance("PKIX");
PKIXRevocationChecker rc = (PKIXRevocationChecker)cpb.getRevocationChecker();
rc.setOptions(EnumSet.of(
PKIXRevocationChecker.Option.PREFER_CRLS, // prefer CLR over OCSP
PKIXRevocationChecker.Option.ONLY_END_ENTITY,
PKIXRevocationChecker.Option.NO_FALLBACK)); // don't fall back to OCSP checking
PKIXBuilderParameters pkixParams = new PKIXBuilderParameters(ts, new X509CertSelector());
pkixParams.addCertPathChecker(rc);
tmf.init( new CertPathTrustManagerParameters(pkixParams) );
// init KeyManagerFactory
kmf.init(...)
SSLContext ctx = SSLContext.getInstance("TLS");
ctx.init(kmf.getKeyManagers), tmf.getTrustManagers(), null);
这基本上完成了我在应用程序中需要的操作,检查颁发给客户端的证书是否在我们的 CRL 中被撤销。只接受检查最终实体并允许 CRL 检查失败,因为它是我们所有的基础设施。
首先,您可以在 jcontrol(自 1.8 起)中配置的吊销检查仅适用于 applet 和 WebStart 下载和签名者证书检查!
对于编程的 https 客户端,您可以使用上面提到的 PKIXRevocationChecker,但根据我的经验,Oracle 实现根本不支持 LDAP CDP 下载。
当我遇到这个问题时,我需要使用 CRL 实施完整的证书链检查并立即从 LDAP 下载 CA 证书,这在我自定义的 TrustManager 的 checkXXXX 函数之后...
请注意,禁用吊销检查是一种糟糕的安全做法。你可以做到,但要确保你知道风险!
by @DoNuT 通过设置 PKIXRevocationChecker.Option.SOFT_FAIL 来工作,即使撤销检查失败,验证器也不会抛出异常。以下答案完全禁用吊销检查,因此如果您根本不需要验证,它会更快。这是因为执行吊销检查需要联系 CRL 分发点或 OCSP 服务器,如果您不想这样做,则无需付出代价。
您可以简单地在 PKIXBuilderParameters 类型的对象上使用 setRevocationEnabled(false)。
// Initialize "anchors" to trusted certificates
// Initialize "selector" to the certificate you want to validate
PKIXBuilderParameters pbParams = new PKIXBuilderParameters(anchors, selector);
pbParams.setRevocationEnabled(false); // disable revocation check
CertPathBuilder cpb = CertPathBuilder.getInstance("PKIX");
CertPathBuilderResult cpbResult = cpb.build(pbParams);
CertPathValidator cpv = CertPathValidator.getInstance("PKIX");
CertPathValidatorResult result = cpv.validate(cpbResult.getCertPath(), pbParams);
System.out.println(result);
OCSP 适合你吗?
以下代码为我启用了 OCSP:
// for debugging:
System.setProperty("javax.net.debug", "all");
System.setProperty("java.security.debug", "all");
System.setProperty("com.sun.net.ssl.checkRevocation", "true");
Security.setProperty("ocsp.enable", "true");
CRL 失败,错误如下:
我目前正在使用 SSL 编写网络 TCP 服务器。在生产中,我们最终会要求客户使用证书进行身份验证。
为了在紧急情况下吊销证书,我们还想建立一个CRL。
我的问题是:Java 是开箱即用地检查 CRL(如果随证书一起提供)还是我需要手动执行此类检查?
为了测试,我准备了一个带有 CRL 集的证书,但 Java 似乎没有尝试验证它(我将它放入本地 Web 服务器,但没有访问权限)。
我只找到了 com.sun.net.ssl.checkRevocation=true VM 选项,但显然它没有查询 CRL。 VM 调试设置为 java.security.debug=certpath 不生成任何输出,或者...
Java 似乎在其子系统中有相关的 类(例如 java.security.cert.X509CRLSelector),但它没有发挥作用, 显然.
编辑:删除了过时的 Dropbox link
我想出了如何在不实现自定义验证器的情况下在 SSLContext 中启用 CRL 检查,如评论中所建议的那样。
主要是关于使用撤销检查器正确初始化 SSLContext 的 TrustManagers,只有几行,没有自定义检查逻辑,现在自动检查 CRL 以及验证路径。
这是一个片段...
KeyStore ts = KeyStore.getInstance("JKS");
FileInputStream tfis = new FileInputStream(trustStorePath);
ts.load(tfis, trustStorePass.toCharArray());
KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
// initialize certification path checking for the offered certificates and revocation checks against CLRs
CertPathBuilder cpb = CertPathBuilder.getInstance("PKIX");
PKIXRevocationChecker rc = (PKIXRevocationChecker)cpb.getRevocationChecker();
rc.setOptions(EnumSet.of(
PKIXRevocationChecker.Option.PREFER_CRLS, // prefer CLR over OCSP
PKIXRevocationChecker.Option.ONLY_END_ENTITY,
PKIXRevocationChecker.Option.NO_FALLBACK)); // don't fall back to OCSP checking
PKIXBuilderParameters pkixParams = new PKIXBuilderParameters(ts, new X509CertSelector());
pkixParams.addCertPathChecker(rc);
tmf.init( new CertPathTrustManagerParameters(pkixParams) );
// init KeyManagerFactory
kmf.init(...)
SSLContext ctx = SSLContext.getInstance("TLS");
ctx.init(kmf.getKeyManagers), tmf.getTrustManagers(), null);
这基本上完成了我在应用程序中需要的操作,检查颁发给客户端的证书是否在我们的 CRL 中被撤销。只接受检查最终实体并允许 CRL 检查失败,因为它是我们所有的基础设施。
首先,您可以在 jcontrol(自 1.8 起)中配置的吊销检查仅适用于 applet 和 WebStart 下载和签名者证书检查! 对于编程的 https 客户端,您可以使用上面提到的 PKIXRevocationChecker,但根据我的经验,Oracle 实现根本不支持 LDAP CDP 下载。 当我遇到这个问题时,我需要使用 CRL 实施完整的证书链检查并立即从 LDAP 下载 CA 证书,这在我自定义的 TrustManager 的 checkXXXX 函数之后...
请注意,禁用吊销检查是一种糟糕的安全做法。你可以做到,但要确保你知道风险!
PKIXRevocationChecker.Option.SOFT_FAIL 来工作,即使撤销检查失败,验证器也不会抛出异常。以下答案完全禁用吊销检查,因此如果您根本不需要验证,它会更快。这是因为执行吊销检查需要联系 CRL 分发点或 OCSP 服务器,如果您不想这样做,则无需付出代价。
您可以简单地在 PKIXBuilderParameters 类型的对象上使用 setRevocationEnabled(false)。
// Initialize "anchors" to trusted certificates
// Initialize "selector" to the certificate you want to validate
PKIXBuilderParameters pbParams = new PKIXBuilderParameters(anchors, selector);
pbParams.setRevocationEnabled(false); // disable revocation check
CertPathBuilder cpb = CertPathBuilder.getInstance("PKIX");
CertPathBuilderResult cpbResult = cpb.build(pbParams);
CertPathValidator cpv = CertPathValidator.getInstance("PKIX");
CertPathValidatorResult result = cpv.validate(cpbResult.getCertPath(), pbParams);
System.out.println(result);
OCSP 适合你吗?
以下代码为我启用了 OCSP:
// for debugging:
System.setProperty("javax.net.debug", "all");
System.setProperty("java.security.debug", "all");
System.setProperty("com.sun.net.ssl.checkRevocation", "true");
Security.setProperty("ocsp.enable", "true");
CRL 失败,错误如下: