请原谅我的无知,但我正在慢慢地通过使用bouncycastle和密码学的部分。
我正在尝试使用OCSP,我正在尝试使用bouncycastle检查证书的撤销状态。 我不明白为什么bouncycastle需要发行人证书才能做到这一点?要构建OCSPReq,我必须提供需要颁发者证书的CertificateID对象。 有什么意义?根据我的理解,我需要进行OCSP检查的是我正在检查的证书和OCSP响应者的URI ...如果我错了,请纠正我。
谢谢!
答案 0 :(得分:3)
我对bouncycastle组件一无所知,我纯粹是在谈论RFC 观点。
我们需要发行者证书来构建ocsp请求(发布者DN的哈希和发行者公钥哈希的哈希),检查RFC 2560,第4.1.1节
Request ::= SEQUENCE {
reqCert CertID,
singleRequestExtensions [0] EXPLICIT Extensions OPTIONAL }
CertID ::= SEQUENCE {
hashAlgorithm AlgorithmIdentifier,
issuerNameHash OCTET STRING, -- Hash of Issuer's DN
issuerKeyHash OCTET STRING, -- Hash of Issuers public key
serialNumber CertificateSerialNumber
}