Если сертификаты содержат Расширение доступа к информации о полномочиях (OCSPSigning), вам больше нечего делать, кроме как установить упомянутые вами свойства.
System.setProperty("com.sun.net.ssl.checkRevocation", "true");
Security.setProperty("ocsp.enable", "true");
См. RFC3280 и Как активировать OCSP с помощью OpenSSL для получения дополнительной информации.
Если ваш ЦС не предоставляет это расширение для выданных сертификатов, вы можете настроить URL-адрес ответчика, установив свойство
Security.setProperty("ocsp.responderURL", ...)
По умолчанию расположение ответчика OCSP определяется неявным образом из проверяемого сертификата. Свойство используется, когда расширение доступа к информации центра сертификации (определенное в RFC 3280) отсутствует в сертификате или когда оно требует переопределения.
Если сертификат вашего ответчика OCSP не соответствует сертификату эмитента, вы можете установить альтернативное имя субъекта, установив
Security.setProperty("ocsp.responderCertSubjectName", ...);
По умолчанию сертификат ответчика OCSP является сертификатом эмитента проверяемого сертификата. Это свойство определяет сертификат ответчика OCSP, если значение по умолчанию не применяется. Его значение — строковое различающееся имя (определенное в RFC 2253), которое идентифицирует сертификат в наборе сертификатов, предоставленных во время проверки пути сертификата. В тех случаях, когда одного имени субъекта недостаточно для уникальной идентификации сертификата, вместо этого необходимо использовать оба свойства ocsp.responderCertIssuerName и ocsp.responderCertSerialNumber. Когда это свойство установлено, эти два свойства игнорируются.
Описание всех свойств, которые можно использовать для настройки OCSP, см. в Руководство программиста PKI JavaTM.
Почему нам нужна поддержка OCSP надувного замка, а не просто установка этих свойств?
Никто не говорит, что вы должны использовать надувной замок в качестве поставщика услуг безопасности. Использование Sun JCE по умолчанию нормально, по крайней мере, в случае использования JRE 1.8.
person
Paul Wasilewski
schedule
29.11.2016