OCSP 响应的授权响应者未使用 CertPathValidator 进行验证
Authorized responder for an OCSP response not validating with CertPathValidator
我正在尝试通过 CertPathValidator 使用装订 OCSP 检查来验证证书路径。可能有一些 RFC 协议禁止我期望验证的内容,但我一直找不到它。
一些绘画艺术来描述所讨论的证书之间的关系:
overview
验证证书路径时出现异常,指出响应者无权签署 OCSP 响应。
CertPathValidatorException: Responder's certificate is not authorized to sign OCSP responses
这是由于 sun.security.provider.certpath.OCSPResponse:561。导致此结果的检查期望用于签署 OCSP 响应(或其颁发者)的证书与颁发我们正在验证的签名证书的证书相同。
然而这里不是这种情况。 OCSP 响应者证书已扩展 OCSP 签名的密钥用法,当 CA 和签名者证书之间存在中间时,它是否应该无法签署 OCSP 响应?
如果您遇到同样的问题;
我将 OCSP 的响应证书添加到 PKIXRevocationChecker.setOcspResponderCert() 后验证它来自根 CA 或者是根 CA。吊销检查器仍将验证响应证书是否具有适当的扩展名来签署 OCSP。
我正在尝试通过 CertPathValidator 使用装订 OCSP 检查来验证证书路径。可能有一些 RFC 协议禁止我期望验证的内容,但我一直找不到它。
一些绘画艺术来描述所讨论的证书之间的关系: overview
验证证书路径时出现异常,指出响应者无权签署 OCSP 响应。
CertPathValidatorException: Responder's certificate is not authorized to sign OCSP responses
这是由于 sun.security.provider.certpath.OCSPResponse:561。导致此结果的检查期望用于签署 OCSP 响应(或其颁发者)的证书与颁发我们正在验证的签名证书的证书相同。
然而这里不是这种情况。 OCSP 响应者证书已扩展 OCSP 签名的密钥用法,当 CA 和签名者证书之间存在中间时,它是否应该无法签署 OCSP 响应?
如果您遇到同样的问题;
我将 OCSP 的响应证书添加到 PKIXRevocationChecker.setOcspResponderCert() 后验证它来自根 CA 或者是根 CA。吊销检查器仍将验证响应证书是否具有适当的扩展名来签署 OCSP。