代码实现对证书进行CRL校验

于 2025-01-10 15:53:42 发布
阅读量532 收藏 6
点赞数 3
CC 4.0 BY-SA版权
文章标签: 安全 ssl java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_36319965/article/details/145059545

文章目录

CRL介绍

证书吊销列表 (Certificate Revocation List ,简称: CRL) 是 PKI 系统中的一个结构化数据文件,该文件包含了证书颁发机构 (CA) 已经吊销的证书的序列号及其吊销日期。 CRL 文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间,以及采用的签名算法等。

CRL必要性

CRL是保护网络通信安全的重要组成部分。通过及时更新和分发吊销列表,CRL能够有效防止潜在的安全威胁,增强用户对数字证书的信任。

  • 防止伪造和欺诈:CRL用于列出已经被吊销的数字证书,确保用户不在信任已经失效或不再可信的证书,有助于防止伪造和诈骗
  • 保护敏感信息:当证书被吊销的原因可能涉及安全漏洞、密钥泄露或不再信任的实体,CRL能够及时提醒用户,减少数据被盗取的风险。

CRL校验实现

这里用Java实现对证书进行CRL校验,查看证书吊销状态

老规矩,先上BC,POM文件增加依赖引用

	<dependency>
      <groupId>org.bouncycastle</groupId>
      <artifactId>bcprov-jdk15to18</artifactId>
      <version>1.69</version>
    </dependency>

Java代码

import java.io.InputStream;
import java.io.FileInputStream;
import java.net.URL;
import java.security.Security;
import java.security.cert.CertificateFactory;
import java.security.cert.X509CRL;
import java.security.cert.X509Certificate;
import java.util.Date;
import org.bouncycastle.asn1.x509.*;
import org.bouncycastle.cert.jcajce.JcaX509ExtensionUtils;
import org.bouncycastle.jce.provider.BouncyCastleProvider;


/**
 * @description 证书CRL吊销情况验证
 */
public class CertCrlVerify {


    static{
        Security.addProvider(new BouncyCastleProvider());
    }

    public static void main(String[] args) {
        try {
        	//待验证证书
            X509Certificate certificate = loadCertificate("C:\\baidu.crt");

            String crlDistributionPoint = getCRLDistributionPoint(certificate);

            X509CRL crl = downloadCRL(crlDistributionPoint);

            //加载上级证书 /CRL签发证书
            X509Certificate issuerCertificate = loadCertificate("C:\\baidu_ca.crt");

            validateCRL(crl, issuerCertificate);

            checkCertificateRevocation(crl, certificate);

        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    private static X509Certificate loadCertificate(String certPath) throws Exception {
        CertificateFactory cf = CertificateFactory.getInstance("X.509");
        try (InputStream in = new FileInputStream(certPath)) {
            return (X509Certificate) cf.generateCertificate(in);
        }
    }


    // 获取 CRL 分发点
    private static String getCRLDistributionPoint(X509Certificate certificate) throws Exception {
        byte[] crlDistributionPoint = certificate.getExtensionValue(Extension.cRLDistributionPoints.getId());
        if (crlDistributionPoint == null)
            return null;

        CRLDistPoint distPoint = CRLDistPoint
                .getInstance(JcaX509ExtensionUtils.parseExtensionValue(crlDistributionPoint));

        return ((GeneralNames)distPoint.getDistributionPoints()[0].getDistributionPoint().getName()).getNames()[0].getName().toString();
    }

    private static X509CRL downloadCRL(String crlUrl) throws Exception {
        InputStream crlInputStream = new URL(crlUrl).openStream();
        CertificateFactory cf = CertificateFactory.getInstance("X.509");
        return (X509CRL) cf.generateCRL(crlInputStream);
    }

    private static void validateCRL(X509CRL crl, X509Certificate certificate) throws Exception {
        crl.verify(certificate.getPublicKey());
        if (crl.getNextUpdate() != null && crl.getNextUpdate().before(new Date())) {
            throw new Exception("CRL文件已过期");
        }
        if (crl.getThisUpdate().after(new Date())) {
            throw new Exception("CRL未生效");
        }
    }

    private static void checkCertificateRevocation(X509CRL crl, X509Certificate certificate) {
        if (crl.isRevoked(certificate)) {
            System.out.println("证书已被吊销");
        } else {
            System.out.println("证书未被吊销");
        }
    }
}

代码可以直接执行,证书文件大家可以随便去网站上下载一张即可,涉及合规,文件我就不上传了

= . =

总结

CRL和OCSP共同构成了现代数字证书管理体系的安全基础。CRL通过提供定期的证书撤销信息,而OCSP提供了近乎实时的证书状态查询。
通过这两种机制的使用,使得网络通信中的身份验证更加可靠,极大地增强了信息传输的安全性,保护了用户的隐私和数据安全。

通过数字证书获取CRL吊销列表
M先生的博客
06-20 505
在一些对安全性要求比较严格的企业,需要在每次使用证书时,要求对证书的有效性进行验证,如何验证可查看我的其他博客。其中验证的吊销列表(CRL)是可以从数字证书中获取吊销列表文件的发布地址的。
一文读懂 HTTPS :HTTPS握手与TLS证书校验
bjxiaxueliang的CODING茶馆
06-23 2590
HTTPS协议详解 从事移动互联网软件开发的小伙伴肯定了解:自Android 9.0开始,应用程序的网络请求默认使用https;基本是同期苹果IOS在应用网络请求方面,也强制使用https禁止http。 这一期间如果你去面试,不了解Https的握手过程,都不好意思讲工资。 本人一个普通程序员,项目期间工期紧张,并未抽出时间详细了解Https网络请求过程中TLS握手过程,因此这件事一直在我的待办记录中… 这篇文章以Wireshark抓包,详细了解Https请求中TLS的握手过程 与 客户端证书校验过程。 H
【转载】证书的有效性管理和验证—CRL及OCSP的异曲同工之妙
记事本
08-19 783
怎样验证数字证书    数字证书号称是网上的身份证。网上交易者通过交易对象的数字证书对其产生信任,并能够使用和证书绑定的公钥和交易对象通信,这是PKI认证机制的基本宗旨。但是,当网上交易者从交易对象那里直接获取,或通过访问CA证书库等不同途径得到了交易对象的数字证书以后,这张证书不经过验证是不能放心使用的。验证由安全认证应用软件执行,验证需要包括以下的内容:· 证书完整性验证。即确认这个证书没有被...
数字证书的相关专业名词(中)---根证书CRL,以及javaCRL的获取和验证方法
qq_44005305的博客
04-11 1434
上篇文章我们主要了解了PKI中的数字证书和PKCS,这篇文章我们主要了解一下根证书,以及OCSP和CRL。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)
数字证书有效性验证
包磊磊的博客
05-25 2814
数字证书的有效性验证主要从三个方面: 1,数字证书有效期验证 2,根证书验证 3,CRL验证 下面依次讲解这三块内容 1,数字证书有效期验证 就是说证书的使用时间要在起始时间和结束时间之内。通过解析证书很容易得到证书的有效期 2,根证书验证 先来理解一下什么是根证书? 普通的证书一般包括三部分:用户信息,用户公钥,以及CA签名 那么我们要验证这张证书就需要验证CA签名的真伪。那么就需要CA公钥。而CA公钥存在于另外一张证书(称这张证书是对普通证书签名证书)中...
证书有效性验证、根证书
小强快跑~~
03-18 4596
来源:证书有效性验证、根证书 - 程序员大本营 一、 数字证书的有效性验证主要从三个方面: (1)数字证书有效期验证 (2)根证书验证 (3)CRL验证 1、数字证书有效期验证 就是说证书的使用时间要在起始时间和结束时间之内。通过解析证书很容易得到证书的有效期 2、根证书验证 先来理解一下什么是根证书? 普通的证书一般包括三部分:用户信息,用户公钥,以及CA签名 那么我们要验证这张证书...
openvpn crl.pem证书过期问题
xpt211314的博客
09-22 3423
部署的openvpn,提供给员工访问内网使用;使用了大约大半年,一直很稳定,上周使用的时候,客户端连接不上了,显示一直重新连接(截图没有及时保留),重启了openvpn服务也不行。排除了客户端和服务器之间的网络问题,排除了客户端问题(因为发现所有的客户端连接都是这个问题),目标指向了服务端;
Java代码实现生成证书吊销列表CRL
最新发布
孙小鸿的博客
11-28 856
CRL (Certificate Revocation List) 证书吊销列表。是CA机构维护的一个已经被吊销的证书序列号列表,浏览器需要定时更新这个列表,浏览器在验证证书合法性的时候也会在证书吊销列表中查询此证书是否已经被吊销,如果被吊销了那这个证书也是不可信的。可以看出,这个列表随着被吊销证书的增加而增加,列表会越来越大,浏览器还需要定时更新,实时性也比较差。本篇博客实现如下功能:
深入分析SSL/TLS服务器的证书(C/C++代码实现)
chen1415886044的博客
07-07 2109
SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是网络安全领域的重要协议,它们在保护网络通信中发挥着至关重要的作用。这些协议通过加密和身份验证机制,确保数据在传输过程中的机密性和完整性,防止数据被窃取或篡改。 这些协议的关键组成部分之一是SSL/TLS服务器的证书,它为服务器提供了一种身份验证和加密的方式
java 实现根据证书校验公钥证书是否合法
05-27
Java 中,可以使用 Java Cryptography Architecture (JCA) 提供的 X.509 证书库来实现根据证书校验公钥证书是否合法。以下是一个简单的示例代码: ```java import java.io.FileInputStream; import java....
oracle crl文件,open***配置文件中文解析
weixin_35399893的博客
04-04 275
# 哪个本地ip地址将被Open***监听?# 也可以不注明;local a.b.c.d# 哪一个tcp/udp端口将被监听?# 如果你要在一台机器上启动多个Open×××,你需要监听不同的端口# 记着在防火墙那里打开这些端口port 1194# TCP还是UDP协议?# 如果采用HTTP proxy,必须使用TCP协议proto udp# “dev tun” 将创建1个路由隧道# “dev ta...
SSL证书被吊销与过期的区别 多个CRL时,只生效最新颁发日期和日期全都一致只生效CRL链中最靠前CRL
chenhao0568的专栏
04-17 1076
SSL(Secure Sockets Layer)是一种安全协议,用于在因特网上的两个系统之间建立加密连接,确保信息传输的保密性和完整性。数字证书验证是SSL连接建立的关键步骤,由受信任的CA签发。CRL证书撤销列表)包含被撤销的数字证书列表,用于验证证书有效性。SSL通过CRL确保每个安全连接使用有效和可信的数字证书
CRL和OSCP、LDAP
lingdukafeibj的博客
04-27 3581
签名验签服务器规范明确写出签名验签服务器应支持与CA基础设施的连接功能,包括CRL连接配置、OSCP连接配置。看完后一头雾水,首先需要了解什么是CRL 1、证书吊销列表(Certificate Revocation List,简称:CRL) 是PKI系统系统中的一个结构化的数据文件,该文件包含了证书颁发机构(CA)已经吊销的证书的序列号及其吊销日期。CRL文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间、以及采用的签名算法等。证书吊销列表最短的有效期为1个小时,一般为1天,甚至1个月不等,
OpenSSL命令---verify
热门推荐
VitalityShow(网络通讯)
11-21 1万+
该命令是证书验证工具
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值