如果证书被吊销,请验证

本文关键字:验证 证书 如果 | 更新日期: 2023-09-27 18:18:22

我有以下情况:

  • 用于数字签名的Java小程序-在客户端
  • 数字签名和数字证书的验证-在服务器端

我使用以下c#代码来验证签名和证书:

ContentInfo content = new ContentInfo(pdf);
SignedCms signedMessage = new SignedCms(content, true);
signedMessage.Decode(assinatura);
signedMessage.CheckSignature(false);

地点:

  • pdf -签名pdf文件
  • assinatura - pdf的签名-在我的情况下,签名它不是与pdf文件

通过我所做的测试,代码验证证书链,过期和其他…

但是,我想知道一些事情:

此代码验证用于签名的证书是否已撤销?如果它没有验证,我怎么能在这一点上做这样一个验证系统?

是否有一种方法可以创建一个用于测试的吊销证书?

如果证书被吊销,请验证

撤销检查由

执行
  1. 获取包含证书状态信息的CRL
  2. 向授权服务器发送OCSP请求以响应此类请求

如果存在OCSP服务器的URL,则OCSP是检查吊销的首选方法(出于安全考虑),但通常应该执行两种检查。

OCSP和CRL操作由我们的SecureBlackbox, CryptLib, BouncyCastle支持。在SecureBlackbox中,您将发现一个高级CertificateValidator类,它为您执行所有检查(同时允许您干预过程的各个方面)。

没有办法创建一个已撤销的证书,除非您运行自己的私有证书颁发机构(但如果您这样做,可能就没有问题了)。原因是您不能将证书的ID放入CA发送的CRL中(或让第三方OCSP响应器执行此操作)。

哦,我可以看到一种方法-购买证书,然后联系CA并告诉他们您已经泄露了私钥。他们会阻止证书。但这是相当昂贵的方法:)。