检查X509证书吊销

Question

是否可以检查任何X509证书是否已被吊销？实际上，我做了一个Java应用程序，它只获取一个常规的https链接并输出X509证书。我想在我的应用程序中添加一个检查此证书是否已被吊销的服务？

有没有教程或简单的代码可以指导我这样做呢？

提前谢谢你

Answer 1

可以，当然可以查看吊销状态。如果您想“手动”完成此操作，则需要从证书扩展中提取相应的信息，然后检索CRL或发送OCSP请求。

但这是一个非常复杂的方法，因为它涉及CRL和OCSP响应的签名和证书的验证。

更简单的方法是使用一些现有的机制。答案( https://stackoverflow.com/a/8507905/47961和https://stackoverflow.com/a/10068006/47961)似乎提供了一些链接和解决方案。

如果你需要更多的控制，BouncyCastle似乎有一些验证机制。我们的SecureBlackbox还提供了强大而灵活的证书验证器(它包括OCSP和CRL检查)。