X.509 Certificate Revocation Lists

最新推荐文章于 2025-05-17 11:13:18 发布
最新推荐文章于 2025-05-17 11:13:18 发布
阅读量819 收藏
点赞数
分类专栏: Encrypt and signature
本文介绍了如何使用BouncyCastle API创建版本2 X.509证书撤销列表(CRL),包括可用算法、创建基本CRL的方法以及更新现有CRL的步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

X.509 Certificate Revocation Lists

 

 X.509 Certificate Revocation Lists

Introduction

The Bouncy Castle APIs support the creation of version 2 X.509 Certificate Revocation Lists (CRLs) with the class:

org.bouncycastle.x509.X509V2CRLGenerator

Fuller details on CRL creation and their interpretation can be found in RFC 3280 Section 5.

Avaliable Algorithms

DSA

DSA currently just supports SHA-1. The following value can be used in place of the variable signatureAlgorithm in the examples below:

  • SHA1withDSA

Elliptic Curve (ECDSA)

ECDSA is support with both the SHA-1 and SHA-2 family of digest algorithms. The following values can be used in place of the variable signatureAlgorithm in the examples below:

  • SHA1withECDSA
  • SHA224withECDSA
  • SHA256withECDSA
  • SHA384withECDSA
  • SHA512withECDSA

RSA

A variety of digests can be used to sign CRLs using the RSA algorithm. The following value can be used in place of the variable signatureAlgorithm in the examples below:

  • MD2withRSA
  • MD5withRSA
  • SHA1withRSA
  • SHA224withRSA
  • SHA256withRSA
  • SHA384withRSA
  • SHA512withRSA
  • RIPEMD160withRSA
  • RIPEMD128withRSA
  • RIPEMD256withRSA

Creating a Basic CRL

A basic CRL just includes the some details about the issuing CA, the CRL, and details of the certificates that have been revoked as well as when they have been revoked. At a minimum a CRL should contain extensions giving the identity of the certificate used to sign the CRL and the number of the CRL to make it easier for clients using the CRL to recognise it.

The following code generates a basic CRL revoking the certificate with the number 1 that was issued by a particular CA. The code labels the CRL as being issued at the time now and also provides a time at which a new update should have been received by providing nextUpdate. A CRL entry is added using the addCRLEntry() method with the reason for the revocation been given as privilegeWithdrawn. Two extensions are added describing the certificate that can be used to verify the CRL and assigning a number to the CRL and then the CRL is generated.

import java.security.cert.X509CRL;
import java.security.cert.X509Certificate;

import org.bouncycastle.asn1.x509.CRLReason;
import org.bouncycastle.asn1.x509.CRLNumber;
import org.bouncycastle.asn1.x509.X509Extensions;
import org.bouncycastle.x509.X509V2CRLGenerator;
...
X509V2CRLGenerator   crlGen = new X509V2CRLGenerator();
Date                 now = new Date();
Date                 nextUpdate = ...;
X509Certificate      caCrlCert = ...;
PrivateKey           caCrlPrivateKey = ...;

crlGen.setIssuerDN(new X500Principal("CN=Test CA"));

crlGen.setThisUpdate(now);
crlGen.setNextUpdate(nextUpdate);
crlGen.setSignatureAlgorithm(signatureAlgorithm);

crlGen.addCRLEntry(BigInteger.ONE, now, CRLReason.privilegeWithdrawn);

crlGen.addExtension(X509Extensions.AuthorityKeyIdentifier, 
                  false, new AuthorityKeyIdentifierStructure(caCrlCert));
crlGen.addExtension(X509Extensions.CRLNumber, 
                  false, new CRLNumber(crlNumber));

X509CRL    crl = crlGen.generateX509CRL(caCrlPrivateKey, "BC");

As the code suggests the extensions are constructed in the same way as those for certificates.

Updating an Existing CRL

Often you just need to add another entry to an already existing CRL. The Bouncy Castle APIs provide a addCRL() method to do this, so, for example, if we discovered that we had to revoke the certificate with serial number 2 we could include our previous CRL using code similar to the following:

import java.security.cert.X509CRL;
import java.security.cert.X509Certificate;

import org.bouncycastle.asn1.x509.CRLReason;
import org.bouncycastle.asn1.x509.CRLNumber;
import org.bouncycastle.asn1.x509.X509Extensions;
import org.bouncycastle.x509.X509V2CRLGenerator;
...
X509V2CRLGenerator   crlGen = new X509V2CRLGenerator();
Date                 nextUpdate = ...;
X509Certificate      caCrlCert = ...;
PrivateKey           caCrlPrivateKey = ...;
X509CRL              existingCRL = ...

crlGen.setIssuerDN(new X500Principal("CN=Test CA"));

crlGen.setThisUpdate(now);
crlGen.setNextUpdate(nextUpdate);
crlGen.setSignatureAlgorithm(signatureAlgorithm);
crlGen.addCRL(existingCRL);

crlGen.addCRLEntry(BigInteger.valueOf(2), now, CRLReason.privilegeWithdrawn);

crlGen.addExtension(X509Extensions.AuthorityKeyIdentifier, 
                  false, new AuthorityKeyIdentifierStructure(caCrlCert));
crlGen.addExtension(X509Extensions.CRLNumber, 
                  false, new CRLNumber(crlNumber));

X509CRL    crl = crlGen.generateX509CRL(pair.getPrivate(), "BC");
openssl证书撤销列表(Certificate Revocation List,简称CRL)详解
N阶二进制的博客
12-11 3803
证书撤销列表(Certificate Revocation List,简称CRL),是一种包含撤销的证书列表的签名数据结构。CRL是证书撤销状态的公布形式,CRL就像信用卡的黑名单,用于公布某些数字证书不再有效。CRL是一种离线的证书状态信息。它以一定的周期进行更新。CRL可以分为完全CRL和增量CRL。在完全CRL中包含了所有的被撤销证书信息,增量CRL由一系列的CRL来表明被撤销的证书信息,它每次发布的CRL是对前面发布CRL的增量扩充。
x509证书吊销相关调研
卢舍那
12-25 1125
背景 在做一个区块链项目时,区块链底层平台采用PBFT共识,没有配置块的概念,fabric有配置块约定链的权限。当删除一个节点时由于证书还没有吊销,被删除节点还可以自己启动加入区块链网络,这里实现证书吊销十分有必要。 x509证书吊销 什么是证书吊销 证书吊销列表 (Certificate Revocation List ,简称: CRL) 是 PKI 系统中的一个结构化数据文件,该文件包含了证书...
证书吊销列表(Certificate Revocation List,CRL)
渡安H的博客
05-17 5152
证书吊销列表(Certificate Revocation List,CRL)一个被签署的列表,它指定了一套证书发布者认为无效的证书。除了普通CRL外,还定义了一些特殊的CRL类型用于覆盖特殊领域的CRL。 CRL一定是被CA所签署的,可以使用与签发证书相同的私钥,也可以使用专门的CRL签发私钥。CRL中包含了被吊销证书的序列号。 证书具有一个指定的寿命,但 CA 可通过称为证书吊销的过程来缩...
Bouncy Castle加密工具包:全面解析与应用
最新发布
weixin_32869687的博客
05-17 960
加密技术是现代信息技术中不可或缺的一环,它确保数据传输的安全性与信息的机密性。Bouncy Castle是一个广泛使用的Java加密工具包,提供了一套丰富的API来支持各种加密算法,从而实现加密、解密、数字签名、密钥交换等功能。在了解Bouncy Castle之前,我们首先应该认识到加密工具包在网络安全中的作用。加密工具包为开发者提供了易用的接口,让复杂的加密操作变得简单高效。
[Cloud Computing]Mechanisms: Certificate Revocation List
zjysource的专栏
07-06 602
Certificate Revocation List The certificate revocation list (CRL) is a signed list that is published and maintained by each certification authority (CA) that lists all of its revoked certificat
[信息安全] 05 X.509 公钥证书的格式标准
跨链技术践行者
08-14 1927
X.509是# 公钥证书的格式标准, 广泛用于TLS/SSL安全通信或者其他需要认证的环境中。X.509证书可以由# CA颁发,也可以自签名产生。 1 Overview {#1-overview} X.509证书中主要含有公钥、身份信息、签名信息和有效性信息等信息。这些信息用于构建一个验证公钥的体系,用来保证客户端得到的公钥正是它期望的公钥。 公钥: 非对称密码中的公钥。公钥证书的目的就是为了在互联网上分发公钥。 身份信息: 公钥对应的私钥持有者的信息,域名以及用途等。 签名信息: 对公钥进...
数字证书基础-X.509协议
廖先贵的专栏
06-07 6777
数字证书的两个基本概念基本原则1:公钥加密,私钥解密。私钥签名,公钥验签。基本原则2:根证书应该被无条件信任,根证书通过可靠途径获得。 X.509是PKI的一种实现。1. 证书状态查询提供证书回收状态查询的两种机制:1.OCSP --online certficate status protocol (rfc2560)。Firefox3 缺省就是使用OCSP协议。2.CRLs --certific...
Django应用实现可重用的X.509 PKI证书管理
2. **X.509标准**:X.509是国际电信联盟(ITU-T)发布的一个标准,定义了公开密钥证书的格式。这种证书被广泛用于互联网安全通信,尤其是在SSL/TLS协议中。一个x.509证书包含了公钥、证书主体的名称、有效期、颁发者...
django-x509:实现x509 PKI证书管理的可重用django应用
02-04
**django-x509:实现x509 PKI证书管理的可重用django应用** 在信息技术领域,安全是至关重要的。X509是一种广泛使用的数字证书标准,用于建立公钥基础设施(PKI),它提供了身份验证、数据加密和完整性检查等功能。...
x509证书规范
03-01
This specification is one part of a family of standards for the X.509 Public Key Infrastructure (PKI) for the Internet. This specification profiles the format and semantics of certificates and ...
nistspecialpublication800-32.pdf
12-29
PKI数据结构是公钥技术中的核心组成部分,包括X.509公钥证书,它是数字证书的一种标准格式;证书撤销列表(Certificate Revocation Lists,简称CRL),用于发布已被撤销证书的信息;以及属性证书(Attribute ...
java crl_CRLReason.java
weixin_35572715的博客
02-23 145
/** Copyright (c) 2007, Oracle and/or its affiliates. All rights reserved.* DO NOT ALTER OR REMOVE COPYRIGHT NOTICES OR THIS FILE HEADER.** This code is free software; you can redistribute it and/or m...
介绍一下 X.509 数字证书中的扩展项 subjectAltName
henter的专栏
06-09 1万+
在 RFC 5280《Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile》中定义了 X.509 公钥数字证书和证书撤销列表的内容和格式。 在 X.509 编码格式的数字证书中,使用 Issuer 子项标明证书的颁发者,I...
一读通透 | 轻松掌握X.509数字证书全解析,附赠权威详解资料!
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
06-25 9134
我们常见的.pem.pfx后缀的文件就是X.509证书,X.509是最广泛使用的数字证书格式,由X.509标准定义,用于身份验证和加密。在互联网上,如HTTPS、SSL/TLS等安全通信中,服务器通常使用X.509证书来证明其身份。你真得了解X.509证书么?它有哪些字段?分别代表着什么含义?它又有哪些存储格式呢?
你并不在意的 HTTPS 证书吊销机制,或许会给你造成灾难性安全问题!
easylife206的专栏
01-31 983
公众号关注「运维之美」设为「星标」,每天带你玩转 Linux !缘起偶刷《长安十二时辰》,午睡时,梦到我穿越到了唐朝,在长安城中的靖安司,做了一天的靖安司司丞。当徐宾遇害消失的时候我不...
X509证书详解
热门推荐
weixin_38451161的博客
08-23 2万+
本文源于两篇英文文档,将其合二为一,翻译过程参考了网上的其它翻译以求更加准确,在此对这些翻译文档的作者表示感谢! 文中介绍的OpenSSL版本较老,与现有的版本有很多不符之处,但万变不离其宗,核心原理还是很有参考价值的。 1)证书 X.509标准是密码学里公钥证书的格式标准。X.509 证书己应用在包括TLS/SSL(WWW万维网安全浏览的基石)在内的众多 Internet协议里,同时它也有很多非在线的应用场景,比如电子签名服务。X.509证书含有公钥和标识(主机名、组织或个人),并由证书颁发机.
rfc2459:Internet X.509 公钥基础设施:证书和 CRL 简介
fallraining的专栏
01-06 8502
组织:中国互动出版网(http://www.china-pub.com/)RFC文档中文翻译计划(http://www.china-pub.com/compters/emook/aboutemook.htm)E-mail:ouyang@china-pub.com译者:张海斌(netdebug internetdebug@elong.com )译文发布时间:2001-7-14版权:本中文翻译文档版权
数字证书X.509格式详解
BiigPanda的博客
01-10 1万+
X.509是一种非常通用的证书格式。所有的证书都符合ITU-T X.509国际标准,因此(理论上)为一种应用创建的证书可以用于任何其他符合X.509标准的应用。X.509证书的结构是用ASN1(Abstract Syntax Notation One)进行描述数据结构,并使用ASN.1语法进行编码。
X.509数字证书标准详解与应用
X.509标准由国际电信联盟(ITU-T)制定,最早在1988年发布,后续经过修订,目前的主流版本是X.509v3。该标准定义了数字证书的结构和内容,以确保在各种应用场景中,如加密通信、电子邮件保护、SSL/TLS协议等,能够...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值