Java X509 证书解析和验证

我正在尝试分几个步骤处理X509证书，并遇到了一些问题。我是JCE的新手，所以我还没有完全了解一切。

我们希望能够根据不同的编码（PEM、DER 和 PCKS7）解析多个不同的 X509 证书。我使用FireFox（证书包括链）以PEM和PCKS7格式从 https://belgium.be 导出了相同的证书。我省略了几行问题不需要的行

public List<X509Certificate> parse(FileInputStream fis) {  
    /*
     * Generate a X509 Certificate initialized with the data read from the inputstream. 
     * NOTE: Generation fails when using BufferedInputStream on PKCS7 certificates.
     */
    List<X509Certificate> certificates = null;
      log.debug("Parsing new certificate.");
      certificates = (List<X509Certificate>) cf.generateCertificates(fis);
    return certificates;
  }

只要我使用FileInputStream而不是PCKS7的BufferedInputStream，这段代码就可以正常工作，我认为这已经很奇怪了吗？但我可以忍受它。

下一步是验证这些证书链。1） 检查所有证书是否都有有效日期（简单） 2） 使用 OCSP 验证证书链（如果在证书中找不到 OCSP URL，则回退到 CRL）。这就是我不完全确定如何处理这个问题的地方。

我正在使用Sun JCE，但似乎没有那么多文档（在示例中）？

我首先做了一个简单的实现，只检查链而不经过OCSP / CRL检查。

private Boolean validateChain(List<X509Certificate> certificates) {
    PKIXParameters params;
    CertPath certPath;
    CertPathValidator certPathValidator;
    Boolean valid = Boolean.FALSE;

    params = new PKIXParameters(keyStore);
    params.setRevocationEnabled(false);

    certPath = cf.generateCertPath(certificates);
    certPathValidator = CertPathValidator.getInstance("PKIX");

    PKIXCertPathValidatorResult result = (PKIXCertPathValidatorResult)  
    certPathValidator.validate(certPath, params);

      if(null != result) {
        valid = Boolean.TRUE;
      }
    return valid;
 }

这适用于我的 PEM 证书，但不适用于 PCKS7 证书（相同的证书，仅以其他格式导出）。java.security.cert.CertPathValidatorException：Path 不与任何信任锚链接。

我能看到的唯一区别是CertPath的形成顺序不一样？我无法弄清楚出了什么问题，所以我暂时离开了这个，并继续使用PEM证书，但让我们称之为问题1;)

之后我想实现的是OCSP检查。显然，如果我使用：Security.setProperty（“ocsp.enable”，“true”）和set params.setRevocationEnabled（true）来启用OCSP，它应该能够自己找到OCSP URL，但情况似乎并非如此。标准实现应该做什么（问题2）？java.security.cert.CertPathValidatorException：必须指定 OCSP 响应程序的位置

过去，我找到了一种方法，使用AuthorencyInfoAccessExtension等从证书中检索OCSP url。

但是在 ocsp.url 属性中手动设置 OCSP url 后，我得到一个 java.security.cert.CertPathValidatorException： OCSP 响应错误： UNAUTHORIZED

似乎我错过了很多必要的步骤，而很多在线参考说设置ocsp.enable属性应该是你需要做的一切吗？

也许你们中的任何一个神童都不能引导我完成这个过程？告诉我我完全错在哪里:)

下一步是在没有找到OCSP的情况下实施CRL检查，如果有人可以指出任何示例或向我展示一些文档，那也将不胜感激！

谢谢！

编辑：由于它不是自己获取属性，因此我一直尝试使用以下方法自己设置所有属性：

    // Activate OCSP
        Security.setProperty("ocsp.enable", "true");
        // Activate CRLDP -- no idea what this is
        Security.setProperty("com.sun.security.enableCRLDP", "true");

        X509Certificate target = (X509Certificate) certPath.getCertificates().get(0);
        Security.setProperty("ocsp.responderURL","http://ocsp.pki.belgium.be/");
        Security.setProperty("ocsp.responderCertIssuerName", target.getIssuerX500Principal().getName());
        Security.setProperty("ocsp.responderCertSubjectName", target.getSubjectX500Principal().getName());
        Security.setProperty("ocsp.responderCertSerialNumber", target.getSerialNumber().toString(16));

这给出了一个例外：java.security.cert.CertPathValidatorException：找不到响应者的证书（使用 OCSP 安全属性设置）。