我正在使用Java中的Card Verifiable Certificates(使用PrimeKey / EJBCA的cert-cvc library),它们是非X.509证书,但是它们实现了java.security.cert.Certificate。
我想使用现有的链式构建算法,即使用CertPathBuilder及其PKIX实现(在Oracle / Sun的安全提供程序或Bouncy Castle中)来构建这些CVC证书的链。我目前仍然坚持使用PKIXBuilderParameters和我的一套trustanchors,因为它显然需要X.509证书。
有没有办法在PKIX中使用非X.509证书?如果没有,是否有办法将CertPathBuilder与非X.509证书一起使用,而无需实现我自己的自定义CertBuilderSpi?
答案 0 :(得分:1)
我认为PKIX certpath builder不适用于CVC。根据{{1}}验证路径非常具有x.509特性,包括名称约束,证书策略扩展等。这可能是信任员需要x.509证书的原因。
我能想到的唯一选择是不需要你实现自定义PKIX (rfc5280),如果BC有一个用于CVC,因为它还实现了其他CVC证书。
但快速搜索:
CertBuilderSpi仅显示find . -name "*.java" -exec grep -H "extends CertPathBuilderSpi" {} \;
个类。 cert-cvc也没有实现PKIX。这样的添加会很酷。
干杯, 托马斯