Java SSL证书吊销检查

我想出了如何在SSLContext中启用CRL检查，而无需实现注释中建议的自定义验证器。

主要是关于使用吊销检查器，只有几行，没有自定义检查逻辑以及现在自动检查CRL和验证路径来正确初始化SSLContext的TrustManager。

这是一个片段…

KeyStore ts = KeyStore.getInstance("JKS");FileInputStream tfis = new FileInputStream(trustStorePath);ts.load(tfis, trustStorePass.toCharArray());KeyManagerFactory kmf =  KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());// initialize certification path checking for the offered certificates and revocation checks against CLRsCertPathBuilder cpb = CertPathBuilder.getInstance("PKIX");PKIXRevocationChecker rc = (PKIXRevocationChecker)cpb.getRevocationChecker();rc.setOptions(EnumSet.of(    PKIXRevocationChecker.Option.PREFER_CRLS, // prefer CLR over OCSP    PKIXRevocationChecker.Option.ONLY_END_ENTITY, PKIXRevocationChecker.Option.NO_FALLBACK)); // don't fall back to OCSP checkingPKIXBuilderParameters pkixParams = new PKIXBuilderParameters(ts, new X509CertSelector());pkixParams.addCertPathChecker(rc);tmf.init( new CertPathTrustManagerParameters(pkixParams) );// init KeyManagerFactorykmf.init(...)SSLContext ctx = SSLContext.getInstance("TLS");ctx.init(kmf.getKeyManagers), tmf.getTrustManagers(), null);

从本质上讲，这满足了我在应用程序中所需的工作，检查了颁发给客户的证书是否在我们的CRL中被吊销。只接受最终实体并允许CRL检查失败，因为它是我们的所有基础结构。