Itext PDF阅读器撤销选项卡不存在'；不显示OCSP响应

为什么PDF阅读器不显示嵌入式OCSP响应

我甚至还没有使用crlClient：

MakeSignature.signDetached(sap, new BouncyCastleDigest(), es, chain, null, ocspClient, tsClient, 0, MakeSignature.CryptoStandard.CMS);
// chain[0] - signer certificate
// chain[1] - OperCA certificate (signer's issuer)
// chain[2] - RootCA (OperCA's issuer)

“PDF吊销”选项卡详细信息显示：

所选证书被视为有效，因为它不存在 出现在中包含的证书吊销列表（CRL）中 本地缓存

CRL由“B-Trust运营CA QES”于2014/02/19 07:53:35+02'00'签署，有效期至2014/03/21 07:53:35+02'00'

我想从Bruno Lowagie的免费白皮书文档中实现图3.8所示的带有嵌入式OCSP响应的数字签名

我做错了什么或错过了什么

这是和

---

最好的问候，Valentino实际的问题是，即使PDF只嵌入了OCSP响应， Acrobat Reader不显示它，而是显示本地CRL

这是由于不符合RFC6960或RFC2560的OCSP证书

错误的OCSP证书路径：

Root CA -> Operational CA -> Client certificates (certificates checked with OCSP)
Root CA -> OCSP

右OCSP证书路径：

Root CA -> Operational CA -> Client certificates (certificates checked with OCSP)
           Operational CA -> OCSP

---

我猜你没有得到答案，因为没有什么可测试的：你没有使用

LoggerFactory

来编写签名过程中采取的所有操作。如果您已经这样做并发布了输出，我们可以看到（1）证书是否支持OCSP，以及（2）是否成功联系了OCSP服务器。我们也没有得到PDF来检查PDF中是否有OCSP响应。至于AdobeReader显示的消息：它清楚地表明CRL是从本地缓存读取的。这意味着CRL不存储在PDF中。它是由Adobe Reader下载和缓存的。我通过添加PDF样本和证书链的链接编辑了我的文章。当我使用LoggerFactory.getInstance（）.setLogger（新的SysoLogger（））时；我只得到：从签名获取OCSP的信息只包含一个OCSP响应，没有CRL。有趣的是，我机器上的Adobe阅读器说，他们使用嵌入式CRL检查CA证书的吊销。我假设有一些混淆，它们实际上是指OCSP响应。尽管如此，不要指望验证软件使用您在PDF中提供的信息。如果它（出于何种原因）更喜欢其他输入，它可以自由使用。我有一些疑问。这就是为什么我特意提供了指向认证链概述的链接，这是关于OCSP的，在2.6中说明。OCSP签名授权和4.2.2.2。授权响应者：此证书必须由请求中标识的CA直接颁发。CA应使用相同的颁发密钥颁发委派证书，就像用于签署正在检查吊销的证书一样。在我的例子中，OCSP不是由客户端发行者发行的，而是由根发行者发行的！这可能是原因吗@BrunoI希望确认问题是由于OCSP证书不合格造成的。正如@Mkl建议的那样，我创建了符合OCSP RFC6960的OCSP证书，Acrobat Reader revocation选项卡正确显示了嵌入的OCSP响应。谢谢迈克尔和布鲁诺。