如何在验证CertPath时使用OCSP响应

Question

I 不需要希望Java验证器联系OCSP响应者。

我正在研究XAdES库，因此我需要使用OCSP的响应来保存XML文档中的人员，以验证签名在过去的某个时间是否有效。这使得有必要以与提供CRL相同的方式提供OCSP对CertPathBuilder的响应，并使其在过去的某个时间使用它们来验证证书。

Oracle文档仅介绍如何使验证程序联系OCSP responders，它没有描述如何使用OCSP响应进行验证。

是否可以使用Java PKI API或Bouncy Caste Lightweight API？

Answer 1

在此相同的链接是PKIXCertPathChecker部分，您可以执行该部分来执行OCSP检查。我查看了实现此合同的OCSPChecker类和底层实现类OCSP的代码。 OCSPChecker似乎创建了一个URI实例，该实例被OCSP实现类翻译为URL。不幸的是，它直接被用作HTTP连接的输入，所以如果你使用直接路由，看起来你被HTTP困住了。

现在这两个类都是GPL的，所以你可以简单地抓住它们并创建一个不同的实现，只要你遵守它的GPL许可证即可。否则，你似乎没有什么选择，只能自己执行PKIXCertPathChecker ...