如何在X509TrustManager中启用OCSP？

Question

System.setProperty("com.sun.net.ssl.checkRevocation", "true");
Security.setProperty("ocsp.enable", "true");

设置这些属性真的足以启用OCSP吗？

如果是这样，那么为什么我们需要弹跳城堡OCSP支持而不是仅仅设置这个属性？

Answer 1

如果包含授权信息访问扩展(OCSPSigning)的证书，那么除了设置您提到的属性之外，您没有什么可做的了。

System.setProperty("com.sun.net.ssl.checkRevocation", "true");
Security.setProperty("ocsp.enable", "true");

有关更多信息，请参见RFC3280和如何利用OpenSSL提高OCSP。

如果CA不为颁发的证书提供此扩展，则可以通过设置属性配置响应者URL

Security.setProperty("ocsp.responderURL", ...)

默认情况下，OCSP响应程序的位置是根据正在验证的证书隐式确定的。当证书中没有权限信息访问扩展插件(在RFC 3280中定义)或需要重写时，使用该属性。

如果OCSP响应程序的证书与颁发者的证书不匹配，则可以通过设置

Security.setProperty("ocsp.responderCertSubjectName", ...);

默认情况下，OCSP响应程序的证书是正在验证的证书的颁发者的证书。当默认值不适用时，此属性标识OCSP响应程序的证书。它的值是一个字符串可分辨名称(在RFC 2253中定义)，它标识在set路径验证期间提供的一组证书中的证书。在仅使用主题名称不足以唯一标识证书的情况下，必须同时使用ocsp.responderCertIssuerName和ocsp.responderCertSerialNumber属性。如果设置了th is属性，则忽略这两个属性。

有关可用于配置OCSP的所有属性的说明，请参阅JavaTM PKI程序员指南。

为什么我们需要弹跳城堡OCSP支持而不是仅仅设置这个属性？

没人说你要用弹跳城堡做保安。使用默认的sun是可以的，至少在使用JRE1.8的情况下是这样。