我们的客户要求我们迁移一个面向内部的Java项目列表,以使用SSL进行潜在敏感的REST调用。他们计划在内部生成并签署证书。
我担心如果证书遭到入侵,应用程序可能希望撤销其证书。
是否可以在不更改主服务器的情况下以编程方式撤销证书?似乎一旦建立了哈希签名,就没有办法撤销它,但那么Verisign这样的代理商如何做呢?
答案 0 :(得分:1)
证书包括如何检查撤销的信息,通常是CRL(证书撤销列表)或在线服务OCSP(在线证书状态协议)
证书服务提供商通过将证书包含在CRL及其OCSP服务中来撤销证书。当客户想要检查证书的撤销时,请下载CRL以检查或执行OCSP请求
要做到这一点,你需要: 1)拥有OCSP服务和/或CRL 2)在自生成证书中包含OCSP / CRL的URL。 3)在撤销服务列表中撤销包括它们在内的证书
例如,对于安全的HTTPS网站,浏览器负责执行吊销检查。但是Google decided in 2012 to default Chrome not to check for certificate revocation on non-EV certificates
因此,请注意撤销的控制权是客户的责任而无法做到
答案 1 :(得分:1)
撤销证书而不删除签署该证书的证书颁发机构是使用证书的基础之一。
如上所述,有两种方法可以检查证书是否被撤销:通过检查专用服务器(OCSP)或检查您经常下载的静态文件(CRL)。
您可以使用openssl轻松设置测试OCSP服务器。 您还可以使用openssl生成CRL文件。 CRL文件看起来有点像证书或csr(通常保留在base 64中)。您可以在此处使用在线CRL解码器: http://developerutils.com/CRLDecoder.php