我应该接受由信任锚签名的OSCP响应者证书吗?

| 有人可以在以下方面帮助我吗? RFC2560定义了何时可以接受OCSP响应者证书(从响应开始): 
   1. Matches a local configuration of OCSP signing authority for the
   certificate in question; or

   2. Is the certificate of the CA that issued the certificate in
   question; or

   3. Includes a value of id-ad-ocspSigning in an ExtendedKeyUsage
   extension and is issued by the CA that issued the certificate in
   question.\"
我的问题是: 如果OCSP响应者的证书是由验证路径的信任锚签名的,那么它也被视为接受吗? 我的印象是应该的,但是RFC并未在上面进行明确说明,也找不到对此的明确引用。 从我对RFC的阅读中可以看出,即使它是由TA签名的,对于OCSP响应仍然无效。 任何帮助表示赞赏 注意:如果有问题,我正在使用Java 更新: 在RFC的2.2节中:   所有确定的响应消息   应进行数字签名。钥匙   用于签署响应必须属于   到以下之一:      -颁发了   有问题的证书   -受信任的响应者,其公钥被请求者信任   -CA指定响应者(授权响应者),持有由CA直接颁发的带有特殊标记的证书,表明响应者可以对该CA发出OCSP响应 第二点对我来说似乎模棱两可。 这可能意味着: a)任何PK受信任,因此可以接受Trust Anchor 要么 b)在第一引号中具有点(1)的含义,这意味着预先配置要信任的证书(任何)为OCSP响应者,例如在Java中进行以下操作: 
   Security.setProperty(\"ocsp.responderCertSubjectName\",ocspCert.getSubjectDN().getName));
   List<X509Certificate> list = new ArrayList<X509Certificate>();
   list.add(ocspCert);
   CollectionCertStoreParameters p = new CollectionCertStoreParameters(list);  
   CertStore store = CertStore.getInstance(\"Collection\", p);
   PKIXParameters params = new PKIXParameters(Collections.singleton(anchor));
   params.addCertStore(store);
    
2019-12-22 2 条评论
分享

没有找到相关结果

    已邀请:

    臀博

    在RFC 2560中,这些表示: 
    1. Matches a local configuration of OCSP signing authority for the
certificate in question; or
    →只要您始终知道自己在做什么,就可以做自己想做的事情。这是“ catch-all \”子句,这意味着无论您做什么,您都很有可能会遵循RFC 2560。但是,如果您是OCSP响应的生成者,则您将希望避免使用该标准许可证,因为您希望响应的用户接受它们,即使他们的“本地配置”不相同。您。 
    2. Is the certificate of the CA that issued the certificate in
question; or
    →棘手的一点是,信任锚是CA。它不是由证书正式表示的(尽管在许多系统中,信任锚被编码为自签名证书);但它颁发证书,因此是证书颁发机构。在这种情况下,如果使用TA密钥对OCSP响应进行了签名。 
    3. Includes a value of id-ad-ocspSigning in an ExtendedKeyUsage
extension and is issued by the CA that issued the certificate in
question.\"
    →与上面类似,在证书X的答案上签名的OCSP响应者可能使用X也是由同一TA颁发的响应者证书R,其中X似乎是由TA签发的。 X和R已由证书颁发机构颁发,您将其名称和密钥用作“信任锚”。 这三种情况描述了验证步骤,该步骤应由接收OCSP响应的任何人执行,并希望将其用作证书路径验证的一部分。 RFC的2.2节是关于OCSP响应者的职责的: 
    All definitive response messages SHALL be digitally signed. The key
used to sign the response MUST belong to one of the following:

-- the CA who issued the certificate in question
-- a Trusted Responder whose public key is trusted by the requester
-- a CA Designated Responder (Authorized Responder) who holds a specially
   marked certificate issued directly by the CA, indicating that the responder
   may issue OCSP responses for that CA
    这三种情况与接收者的情况相匹配,我们在上面详细介绍了这些情况,顺序为“ 2、1、3”。同样,“颁发证书的CA”可以是实体,其名称和公钥将被接收者用作信任锚。     
    2019-12-22 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    或代码 OrCode.com 备案号:粤ICP备15020848号-1
    Escape time: 0.055948972702026