問題タブ [certificate-revocation]

ローカルに保存された CRL で構成された CertStore を設定しました。これらのローカルに保存された CRL のみを使用して証明書の検証を実行したいと考えています。着信接続の証明書がこれらの CRL のいずれとも一致しない場合、CDP ポイントから CRL を取得しようとせず、単にソフトフェイルする必要があります。これを達成する方法はありますか？

証明書を作成したのと同じ CA によって作成された CRL に対して証明書を検証する際に問題があります。

独自の認証局 (CA) と中間 CA を作成しました。この中間 CA を使用して、いくつかの証明書を作成し、それらのいくつかを取り消しました。失効した証明書失効リスト (CRL) を更新しました。次に、CRL をチェーン証明書 (ルート CA と中間 CA の証明書の連結) に追加しました。このファイルを使用して、証明書が失効しているかどうかを確認したかったのです。私が実行している C コードは、失効した証明書に対して期待どおりに戻りますが、有効な証明書に対して予期しないメッセージを表示します: 証明書 CRL を取得できません。さらに、CRL チェックを削除すると、期待どおりの結果が返されます。この理由は何ですか？

私が実行しているコードを以下に示します。

Vertx v3.4.1 と vertx-rx-java を使用してサーバーを実行しています。証明書ベースの認証 (相互認証) を有効にする必要があるため、サーバー側で証明書失効チェックを処理しようとしています。

HttpServerOptions の addCrlPath メソッドを使用しようとしています。ただし、すでにロードされている CRL の有効期限が切れた後でも、指定された「パス」または証明書の CRL 配布ポイント (CDP) から CRL をリロードしないようです。Vertx を使用してプログラムで実現する方法に関する API/ドキュメントが見つかりません。

SSLHelper クラスの getTrustMgrFactory メソッドの実装を見てみましたが、サーバーの起動時にのみ提供される CRL を選択するように感じています。

だから、私のクエリは次のとおりです。

1. 現在ロードされている CRL の有効期限が切れると、最新の CRL が CDP から自動的にダウンロードされるようにする設定が欠落していますか?
2. CDP から自動的にダウンロードされない場合、addCrlPathメソッドで提供される同じパスから CRL をリロードできる他の構成はありますか?
3. Vertx に #1 と #2 の組み込みサポートがない場合、そのようなサポートを組み込みで提供する他の A​​PI はありますか?

そうでなければ、私の唯一の選択肢は、これらを自分で処理することです。

以下は、サーバーを初期化するコードです