Java
11中是否有一些快速的"声明性"方法,而不是繁琐的手动实现,可以检查证书是否被吊销?
我尝试使用这个答案中的属性:在身份验证之前检查 Spring-Security 中的 X509 证书吊销状态有了这个虚拟吊销证书:https://revoked.badssl.com但代码始终接受证书。我做错了什么,或者这些属性对于 Java 11 来说不再实际?如果是这样,我们还有其他选择吗?
下面是我的代码:
public static void validateOnCertificateRevocation(boolean check) {
if (check) {
System.setProperty("com.sun.net.ssl.checkRevocation", "true");
System.setProperty("com.sun.security.enableCRLDP", "true");
Security.setProperty("ocsp.enable", "true");
}
try {
new URL("https://revoked.badssl.com").openConnection().connect();
} catch (IOException e) {
e.printStackTrace();
}
}
似乎必须在执行第一个请求之前设置这些选项。
因此,以下代码作为独立的Java程序抛出了一个CertPathValidatorException: Certificate has been revoked(在Windows上使用OpenJDK 11.0.2 x64进行测试(:
public static void main(String[] args) {
validateOnCertificateRevocation(true); // throws CertPathValidatorException
}
但是,以下代码不会导致任何错误/异常:
public static void main(String[] args) {
validateOnCertificateRevocation(false);
validateOnCertificateRevocation(true); // nothing happens
}
您可以看到在处理第一个请求后更改选项无效。我假设这些选项是在某些证书验证相关类的static { ... }块中处理的。
如果您仍想在每个请求基础上启用/禁用证书吊销检查,则可以通过实现自己的使用 CertPathValidator 的X509TrustManager来实现(您可以通过 PKIXParameters.setRevocationEnabled(boolean) 启用/禁用证书吊销检查。
或者,还有全局启用证书吊销检查并显式处理证书撤销异常的解决方案:
private boolean checkOnCertificateRevocation;
@Override
public void checkServerTrusted(X509Certificate[] certs, String authType) throws CertificateException {
try {
getDefaultTrustManager().checkServerTrusted(certs, authType);
} catch (CertificateException e) {
if (checkOnCertificateRevocation) {
if (getRootCause(e) instanceof CertificateRevokedException) {
throw e;
}
}
}
}