我想出了如何在SSLContext中启用CRL检查,而无需实现注释中建议的自定义验证器。
主要是关于使用吊销检查器,只有几行,没有自定义检查逻辑以及现在自动检查CRL和验证路径来正确初始化SSLContext的TrustManager。
这是一个片段…
KeyStore ts = KeyStore.getInstance("JKS");FileInputStream tfis = new FileInputStream(trustStorePath);ts.load(tfis, trustStorePass.toCharArray());KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());// initialize certification path checking for the offered certificates and revocation checks against CLRsCertPathBuilder cpb = CertPathBuilder.getInstance("PKIX");PKIXRevocationChecker rc = (PKIXRevocationChecker)cpb.getRevocationChecker();rc.setOptions(EnumSet.of( PKIXRevocationChecker.Option.PREFER_CRLS, // prefer CLR over OCSP PKIXRevocationChecker.Option.ONLY_END_ENTITY, PKIXRevocationChecker.Option.NO_FALLBACK)); // don't fall back to OCSP checkingPKIXBuilderParameters pkixParams = new PKIXBuilderParameters(ts, new X509CertSelector());pkixParams.addCertPathChecker(rc);tmf.init( new CertPathTrustManagerParameters(pkixParams) );// init KeyManagerFactorykmf.init(...)SSLContext ctx = SSLContext.getInstance("TLS");ctx.init(kmf.getKeyManagers), tmf.getTrustManagers(), null);从本质上讲,这满足了我在应用程序中所需的工作,检查了颁发给客户的证书是否在我们的CRL中被吊销。只接受最终实体并允许CRL检查失败,因为它是我们的所有基础结构。
