Javaを使用してX.509証明書を検証する場合、どのデータを検証する必要がありますか？

証明書の検証は、日付を確認するよりも少し多いです。

RFC 528 をご覧ください。何度も読んでそのドキュメントを完全に理解していなければ、あらゆる種類のセキュリティと適切な相互運用性を備えた証明書の検証を実装できると考えるのはまったくの妄想です。 X.509関連の標準には多くのクラッドが蓄積されているため、証明書の検証の実装は困難な作業です。 X.509スタイルガイド は必読です（現在は少し日付が付けられていますが、X.509の世界の状況について正しい印象を与えています）。

実際、上司がX.509検証を実装するように指示した場合、上司はあなたをからかったか、または現実から深刻に切り離されています。

あなたの最善の策は、すでに仕事をしているいくつかの既存のライブラリを使用することです。幸い、Java自体にそのためのコードが付属しています。Java.security.cert パッケージ。 Java PKI Programmer's Guide と、それに隣接する note をよく読んでください。

Revocationは、PKIで「おっと、申し訳ありませんが、以前のメッセージを無視する」に相当します。これは、署名と名前の制約、およびポリシーツリーとキーの使用法のすべての道具がすべて問題がないと述べている場合でも、特定の証明書を使用しないことを宣言するために使用されます。失効ステータスのチェックには、失効の可能性のあるリスト（CRL）のダウンロードや、一部の証明書のステータスを表明するオンラインサーバー（OCSP）との会話が含まれます。いずれにしても、それは高価でかさばり、対応する認証局が失効情報を適切で標準に準拠した方法で発行する場合にのみ機能します。

証明書パスAPIについて@Tom Leekが述べたことに加えて、「TLS証明書」について話しているようです。これは、TLSの範囲内でX.509証明書を使用している可能性があることを示しています。

これをJavaのTLSスタック（JSSE）の一部として行うには、既存のX509TrustManagerインフラストラクチャを使用できます。私はそれが RFC 528 または RFC 328 のどちらに対して検証するのかわからないことを認めなければなりません（おそらくそれはJava使用しています。Sun/ Oracle JRE 6を想定していますが、実装は セキュリティプロバイダー によって異なります。これは、すでに認証パスAPIのラッパーです。言及した。

TrustManagerFactoryをnullで初期化する例を次に示します。これは トラストアンカーのデフォルト値 を使用します。以下は、トラストマネージャーを提供します。

TrustManagerFactory factory = TrustManagerFactory.getInstance("PKIX");
factory.init((KeyStore)null);
TrustManager[] trustManagers = factory.getTrustManagers();

トラストマネージャのcheck*メソッドは、何かが失敗したときに CertificateException をスローします。また、日付の有効性もチェックします。

トラストマネージャーを使用して SSLContext を初期化し、SSLSocket（ファクトリを介して）またはSSLEngineを初期化できます。デフォルトでは、SSLSocketFactoryはデフォルトのSSLContextを使用し、それ自体がいくつかの デフォルト値 で初期化されます。

アプリケーションの拡張機能を確認したり、特定のルールを緩和したりする必要がある場合は、独自のTrustManagerを作成することもできます。 （たとえば、既存のトラストマネージャーをラップするための小さなライブラリを作成しました プロキシ証明書などの他の形式の証明書を受け入れます （ RFC 382 -3280ではありません）。 ）

特定の拡張機能を検証するには、ASN.1などを処理するためのデータ構造を提供するため、 BouncyCastle を使用することをお勧めします。