Добрый день!
Присоединяюсь к вопросу, так как тоже сейчас занимаюсь аналогичной проблемой...
Ситуация следующая:
Сервер (требование заказчика) - linux+tomcat. Поэтому принято решение использовать jcp+jtls.
УЦ находится в гос.организации. При этом, во-первых, неизвестно, поднят и открыт ли там oscp. Во-вторых, он может быть недоступен online. Но есть возможность систематически получать CRL. Соответственно, необходимо настроить проверку CRL на томкате...
Есть идея, как решить этот вопрос.
Видимо, ограничение на длину сообщения не позволяет выложить все исходные тексты сразу, либо я что-то делаю неправильно, так что только общая идея.
Пишется класс-обёртка для X509TrustManager, который помимо делигирования методов, проверяет сертификат на присутствие в CRL (с помощью класса ru.CryptoPro.reprov.x509.X509CRLImpl).
Пишутся ещё два класса, унаследованные от org.apache.tomcat.util.net.ServerSocketFactory и org.apache.tomcat.util.net.jsse.JSSEImplementation.
В первом производится, собственно, необходимая обёртка для TrustManager (переопределение метода getTrustManagers).
Запакованный java-архив помещается в TOMCAT_HOME/lib, и второй класс указывается в настройках сервера
Код:
Connector port="8443"
<...>
sslProtocol="GostTLS" algorithm="GostX509"
<...>
SSLImplementation="your.pkg.YourJsseImplementation"
Заглянув в исходники томката (tomcat 6.0.20), содержимое второго класса и идея в целом будут очевидными :)
С доверенными сертификатами сервер работает без проблем.
Но нет возможности проверить его с отозванными сертификатами...
Вопрос и просьба к администраторам.
Есть ли возможность получить отозванный сертификат для тестового УЦ КриптоПро?
http://www.cryptopro.ru/certsrv/Для того, чтобы можно было на его примере проверить работоспособность такого решения?
Спасибо!
С уважеием, Юрий.
P.S.
2 zroslaw
Атрибут crlFile есть, но с его помощью, по крайней мере мне, вопрос решить не удалось.
Наткнулся сразу на несколько проблем, и решить все в совокупности представляется невозможным... Ну или очень сложным.
