如何在CertPathValidatorResult的checkServerTrusted()中获取TrustManager？

Question

当调用实现X509TrustManager的类的X509TrustManager方法时，我需要获得与证书链相关联的所有验证错误，包括

1. 证书路径验证问题。例如CA不受信任
2. 证书字段验证问题。例如过期证书，无效的扩展密钥使用

这背后的动机是，在用户将证书验证问题添加为“异常”之前，我可以像Firefox现在所做的那样，向用户介绍证书验证问题。但是，现在，一旦发现路径验证问题，就会抛出一个CertPathValidatorException，但它没有提供有关证书中字段有效性的任何信息。我如何实现这一点？

经过一些阅读，我发现CertPath API提供了这样的特性，并且发现PKIX实现是一个包装器，但它只是不返回CertPathValidatorResult。在返回所有验证问题时，我希望最大限度地利用现有的JAVA功能(而不编写自己的自定义包装器到API)。

Answer 1

如果存在证书错误，甚至无法访问X509TrustManager.checkServerTrusted()。您需要将证书处理挂起，而且我不认为JSSE中有证书处理。