2016-05-31 7 views
1

クライアントは、潜在的な機密性の高いREST呼び出しを行うためにSSLを使用するように、内部に面しているJavaプロジェクトのリストを移行するよう求めています。内部で証明書を生成して署名する予定です。有効なSSL証明書を無効にすることは可能ですか

私は、証明書が危殆化した場合、アプリケーションが証明書を取り消すことを心配しています。

マスターを変更せずに証明書をプログラムで取り消すことはできますか?いったんハッシュ署名が成立すれば、それを取り消す方法はありませんが、Verisignのような代理店はどのようにしますか?

+1

これらの証明書はすべて自己署名証明書ですか、あるいは内部CAを作成してエンドエンティティ証明書に署名していますか?また、あなたはCRLに精通していますか? https://en.wikipedia.org/wiki/Revocation_list – Rahul

+0

@Rahul私たちは内部CAとマスターを作成しており、生成と署名に使用されます –

答えて

1

証明書に含めて証明書を失効証明書サービスプロバイダ正常にCRL(証明書失効リスト)またはオンラインサービスOCSP(オンライン証明書状態プロトコル)

、失効を確認する方法を自分の情報の一部として含まCRLとそのOCSPサービス。顧客がチェックするCRLをダウンロードし、証明書の失効をチェックしたいかと

を行うことができるOCSP要求を実行するときは、必要があるでしょう: 1)OCSPサービスおよび/またはCRL 2を持っている)に含めます自己生成証明書は、OCSP/CRLへのURLです。 3)失効サービスのリストに含まれる証明書を取り消します。

たとえば、安全なHTTPS Webサイトの場合、ブラウザは取り消しチェックを実行します。しかし

Google decided in 2012 to default Chrome not to check for certificate revocation on non-EV certificatesしたがって、失効の制御は、クライアントの責任であると証明書は、証明書での作業の基本の一つであることを署名した認証局を削除せずに証明書を失効さ

1

を行うことができなかったことに注意してください。

上記で説明したように、証明書が失効しているかどうかを確認するには、専用サーバー(OCSP)をチェックするか、頻繁にダウンロードする静的ファイル(CRL)をチェックする方法があります。

テスト用のOCSPサーバは、opensslを使用して簡単に設定できます。 また、opensslを使用してCRLファイルを生成することもできます。 CRLファイルは、証明書やcsr(通常はベース64に保存されている)のように見えます。 http://developerutils.com/CRLDecoder.php

関連する問題