证书撤销检查的java apis

Question

Java支持开箱即用的OCSP。
尽管它正在完成的方式，（我的意思是撤销检查）对程序员是透明的。
我的问题是，有没有可以创建一个有效的OCSP请求或响应的任何api（java的一部分）？所以程序员可以实现一个自定义的OCSP检查器？

Answer 1

标准Java API不提供公共可用的类来处理OCSP。在Sun/Oracle的JDK中，OCSP管理类位于sun.security.provider.certpath包（即Java规范之外的包），而不是public（因此，在给予自己扩展访问权限后，如果不诉诸反思，则不能使用它们）。

此外，在太阳/ Oracle的JDK的实现是一个纯粹的客户端：它可以编码请求和解码反应，但它不能解码请求或编码响应。因此，实现自定义OCSP检查器需要手动实现编码和解码机制：它可以完成，但不能在五行代码中完成。 EJBCA是一个开源PKI，完全用Java编写，其中包括对OCSP的一些支持（我不知道提取OCSP代码是否容易包含在其他应用程序中是否容易）。

Answer 2

请注意，Java 8有一个JEP 124 - Enhance the Certificate Revocation-Checking API，它应该专门为证书吊销提供新的API。

检查出a recent Oracle blog post描述新功能，以及official Draft Readme。

希望这会有所帮助。