如何在 spring 引导中自定义和添加 PKIXRevocationChecker 实现?
How to customize and add PKIXRevocationChecker implementation in spring boot?
顺便说一句,我有两个问题:
是否正确,如果我设置 Security.property ocsp.enable=true 和 com.sun.security.enableCRLDP=true,我的应用程序默认检查信任库中的证书以进行吊销(CRL 或 OCSP) ?
如何在 spring 引导应用程序或非引导应用程序上自定义 PKIXRevocationChecker 实现逻辑?
提前致谢
对于 #1,如果您的应用程序使用 java.security.cert.CertPathValidator API 的 PKIX 实现来验证证书链,则默认情况下会启用吊销检查。可以通过将 false 传递给 java.security.cert.PKIXParameters 的 setRevocationEnabled 方法来禁用它。当 ocsp.enable 安全性 属性 设置为 true 时,OCSP 用于检查撤销(除 CRL 外)。当 com.sun.security.enableCRLDP 设置为 true 时,它使用证书的 CRL 分发点扩展中的信息(除了指定的 CertStores)来查找 CRL。
此外,在 JDK 8 中,添加了 PKIXRevocationChecker API,这允许更好地控制吊销检查的执行方式。
有关详细信息,请参阅《PKI 程序员指南》:https://docs.oracle.com/javase/8/docs/technotes/guides/security/certpath/CertPathProgGuide.html#PKIXRevocationChecker
顺便说一句,我有两个问题:
是否正确,如果我设置 Security.property
ocsp.enable=true和com.sun.security.enableCRLDP=true,我的应用程序默认检查信任库中的证书以进行吊销(CRL 或 OCSP) ?如何在 spring 引导应用程序或非引导应用程序上自定义 PKIXRevocationChecker 实现逻辑?
提前致谢
对于 #1,如果您的应用程序使用 java.security.cert.CertPathValidator API 的 PKIX 实现来验证证书链,则默认情况下会启用吊销检查。可以通过将 false 传递给 java.security.cert.PKIXParameters 的 setRevocationEnabled 方法来禁用它。当 ocsp.enable 安全性 属性 设置为 true 时,OCSP 用于检查撤销(除 CRL 外)。当 com.sun.security.enableCRLDP 设置为 true 时,它使用证书的 CRL 分发点扩展中的信息(除了指定的 CertStores)来查找 CRL。
此外,在 JDK 8 中,添加了 PKIXRevocationChecker API,这允许更好地控制吊销检查的执行方式。
有关详细信息,请参阅《PKI 程序员指南》:https://docs.oracle.com/javase/8/docs/technotes/guides/security/certpath/CertPathProgGuide.html#PKIXRevocationChecker