我目前正在开发一个使用OCSP或CRL验证签名证书(如pdf)的应用程序。这些很可能是叶证书,没有整个链。获得验证服务的url证明非常简单。
据我了解,OCSP和CRL都要求证书颁发者对其进行验证。所以现在我被卡住了,因为输入中没有包含它。 AIA扩展可能包含CA证书的URL,但不幸的是,这是颁发证书的CA而不是证书本身。
有没有其他方法可以获得发行人的证书只给出叶子?或者有些情况下OCSP / CRL可以在没有它的情况下进行验证吗?
答案 0 :(得分:2)
查看https://www.ietf.org/rfc/rfc2560.txt详细说明有效的OCSP响应要求:
关键 用于签署响应必须属于以下之一:
- 签发有问题证书的CA
- 受信任者信任其公钥的受信任的响应者
- 持有a的CA指定响应者(授权响应者) 由CA直接签发的特别标记证书,表明 响应者可以为该CA发布OCSP响应
第一个和第三个选项都需要颁发者证书。第二种选择没有。但是,我不认为该选项适用于您的情况。链接https://wiki.mozilla.org/CA:OCSP-TrustedResponder详细说明了受信任的响应者是什么以及何时可以实际使用它。