Ausnahme beim Lesen OCSP Signing Zertifikate in Java

https://stackoverflow.com/questions/1497594

19-09-2019
|

Frage

arbeite ich zur Zeit eine Java-Anwendung (JRE 1.5+) auf immer zu einem Windows 2008 OCSP-Responder zu reden, und ich bin einen seltsamen Fehler immer zu versuchen, die Responder der Unterzeichnung cert zu lesen.

Ich erhalte die folgende Ausnahme zu versuchen, eine OCSP-Validierung durchgeführt werden.

Caused by: java.security.cert.CertificateParsingException: java.io.IOException: short read on DerValue buffer
    at sun.security.x509.X509CertInfo.<init>(Unknown Source)
    at sun.security.x509.X509CertImpl.parse(Unknown Source)
    at sun.security.x509.X509CertImpl.<init>(Unknown Source)
    at sun.security.provider.certpath.OCSPResponse.<init>(Unknown Source)
    at sun.security.provider.certpath.OCSPChecker.check(Unknown Source)
    ... 6 more
Caused by: java.io.IOException: short read on DerValue buffer
    at sun.security.util.DerValue.getOctetString(Unknown Source)
    at sun.security.x509.Extension.<init>(Unknown Source)
    at sun.security.x509.CertificateExtensions.init(Unknown Source)
    at sun.security.x509.CertificateExtensions.<init>(Unknown Source)
    at sun.security.x509.X509CertInfo.parse(Unknown Source)
    ... 11 more

Dies legte nahe, gibt es ein Problem war die Unterzeichnung cert lesen, so habe ich versucht, die unter dem separat unter Verwendung eines Verfahrens ähnlich zu importieren:

    public static List<Certificate> readCerts(String certFile,
        CertificateFactory cf, boolean withCRL) throws Exception {
    FileInputStream fis = new FileInputStream(certFile);
    BufferedInputStream bis = new BufferedInputStream(fis);

    List<Certificate> certs = new LinkedList<Certificate>();

    while (bis.available() > 0) {
        Certificate cert = cf
                .generateCertificate(bis);
        X509Certificate cx509 = (X509Certificate) cert;
        certs.add(cert);
    }

    return certs;
}

, die mir den gleichen Fehler gab. Dies scheint nur mit Zertifikaten aus der OCSP-Signaturvorlage erzeugt passieren können Benutzerzertifikate lesenden Ordnung.

Hat jemand ähnliche Probleme mit X509 Unterstützung in Java gestoßen?

Viele Grüße, Tom

UPDATE: Die cert ich mit Mühe habe, ist wie folgt:

Lösung

Ich nehme an, Sie Ihre Fabrik wie diese zu erhalten,

  cf = CertificateFactory.getInstance("X509");

Die Standard-X509 Fabrik hat viele Einschränkungen. Es sieht aus wie Ihre cert eine Erweiterung enthält die Fabrik nicht weiß, wie zu analysieren. Wenn Sie das Zertifikat veröffentlichen, kann ich Ihnen helfen, die problematische Erweiterung zu identifizieren.

EDIT: Die beanstandete Erweiterung

1.3.6.1.5.5.7.48.1.5 - id-pkix-OCSP-nocheck

Die einzige Möglichkeit ist dies mit Java aus dem cert JCE in eingebautem zu entfernen. Sie können auch einen anderen JCE wie BouncyCastle versuchen.

Lizenziert unter: CC-BY-SA mit Zuschreibung

Nicht verbunden mit StackOverflow