为什么PDF阅读器不显示嵌入式OCSP响应?
我甚至没有使用crlClient:
MakeSignature.signDetached(sap, new BouncyCastleDigest(), es, chain, null, ocspClient, tsClient, 0, MakeSignature.CryptoStandard.CMS);
// chain[0] - signer certificate
// chain[1] - OperCA certificate (signer's issuer)
// chain[2] - RootCA (OperCA's issuer)
PDF撤销标签详细信息显示:
所选证书被视为有效,因为它没有 出现在包含在的证书吊销列表(CRL)中 本地缓存。
CRL由“B-Trust Operational CA QES< [hidden email]>”签署在2014/02/19 07:53:35 + 02'00',有效期至2014/03/21 07:53:35 + 02'00'。
我希望从Bruno Lowagie的免费白皮书文档中获得图3.8带有嵌入式OCSP响应的数字签名。
我做错了什么或错过了什么?
以下是Certification path和sample pdf。
最诚挚的问候,华伦天奴
答案 0 :(得分:1)
实际问题是,即使PDF仅嵌入了OCSP响应, Acrobat Reader不会显示它,而是显示本地CRL。
这是由于不符合RFC6960或RFC2560的OCSP证书造成的。
错误的OCSP证书路径:
Root CA -> Operational CA -> Client certificates (certificates checked with OCSP)
Root CA -> OCSP
正确的OCSP认证路径:
Root CA -> Operational CA -> Client certificates (certificates checked with OCSP)
Operational CA -> OCSP