Ich schreibe gerade einen Netzwerk-TCP-Server mit SSL. In der Produktion müssen sich Kunden schließlich mit einem Zertifikat authentifizieren.

Um Zertifikate im Notfall zu widerrufen, möchten wir auch eine CRL einrichten.

Meine Frage lautet: Prüft Java CRLs (sofern mit dem Zertifikat bereitgestellt) sofort oder muss ich solche Prüfungen manuell implementieren?

Zum Testen habe ich ein Zertifikat mit einem CRL-Satz vorbereitet, aber Java scheint nicht zu versuchen, es zu validieren (ich habe es auf einem lokalen Webserver abgelegt und es besteht kein Zugriff).

Ich habe nur das @ gefund com.sun.net.ssl.checkRevocation = true VM-Option, aber anscheinend wird die CRL nicht abgefragt. VM-Debugging auf @ geset java.security.debug = certpath erzeugt auch keine Ausgabe ...

Java scheint verwandte Klassen in seinen Subsystemen zu haben (z. B. java.security.cert.X509CRLSelector), aber es kommt offensichtlich nicht ins Spiel.

Ich habe ein kleines Projekt im Maven-Stil mit Apache Mina als Client-Server geschrieben, das einen SSLContext basierend auf Schlüsseln / Truststores und selbstsignierten Zertifikaten für Client / Server initialisiert, der hier als ZIP-Archiv heruntergeladen werden kann:https: //www.dropbox.com/s/3fqmd1v9mn2a5ve/ssltest.zip? dl = 0