为什么bouncycastle需要颁发者证书才能检查给定证书的OCSP状态?

时间:2014-03-19 12:24:18

标签: java cryptography bouncycastle ocsp

请原谅我的无知,但我正在慢慢地通过使用bouncycastle和密码学的部分。

我正在尝试使用OCSP,我正在尝试使用bouncycastle检查证书的撤销状态。 我不明白为什么bouncycastle需要发行人证书才能做到这一点?要构建OCSPReq,我必须提供需要颁发者证书的CertificateID对象。 有什么意义?根据我的理解,我需要进行OCSP检查的是我正在检查的证书和OCSP响应者的URI ...如果我错了,请纠正我。

谢谢!

1 个答案:

答案 0 :(得分:3)

我对bouncycastle组件一无所知,我纯粹是在谈论RFC 观点。

我们需要发行者证书来构建ocsp请求(发布者DN的哈希和发行者公钥哈希的哈希),检查RFC 2560,第4.1.1节

Request         ::=     SEQUENCE {
   reqCert                     CertID,
   singleRequestExtensions     [0] EXPLICIT Extensions OPTIONAL }

CertID          ::=     SEQUENCE {
   hashAlgorithm       AlgorithmIdentifier,
   issuerNameHash      OCTET STRING, -- Hash of Issuer's DN
   issuerKeyHash       OCTET STRING, -- Hash of Issuers public key
   serialNumber        CertificateSerialNumber 
 }
相关问题
最新问题