如果证书被吊销,请验证
本文关键字:验证 证书 如果 | 更新日期: 2023-09-27 18:18:22
我有以下情况:
- 用于数字签名的Java小程序-在客户端
- 数字签名和数字证书的验证-在服务器端
我使用以下c#代码来验证签名和证书:
ContentInfo content = new ContentInfo(pdf);
SignedCms signedMessage = new SignedCms(content, true);
signedMessage.Decode(assinatura);
signedMessage.CheckSignature(false);
地点:
- pdf -签名pdf文件
- assinatura - pdf的签名-在我的情况下,签名它不是与pdf文件
通过我所做的测试,代码验证证书链,过期和其他…
但是,我想知道一些事情:
此代码验证用于签名的证书是否已撤销?如果它没有验证,我怎么能在这一点上做这样一个验证系统?
是否有一种方法可以创建一个用于测试的吊销证书?
撤销检查由
执行- 获取包含证书状态信息的CRL
- 向授权服务器发送OCSP请求以响应此类请求
如果存在OCSP服务器的URL,则OCSP是检查吊销的首选方法(出于安全考虑),但通常应该执行两种检查。
OCSP和CRL操作由我们的SecureBlackbox, CryptLib, BouncyCastle支持。在SecureBlackbox中,您将发现一个高级CertificateValidator类,它为您执行所有检查(同时允许您干预过程的各个方面)。
没有办法创建一个已撤销的证书,除非您运行自己的私有证书颁发机构(但如果您这样做,可能就没有问题了)。原因是您不能将证书的ID放入CA发送的CRL中(或让第三方OCSP响应器执行此操作)。
哦,我可以看到一种方法-购买证书,然后联系CA并告诉他们您已经泄露了私钥。他们会阻止证书。但这是相当昂贵的方法:)。