Проверьте состояние отзыва сертификата X509 в Spring-Security перед аутентификацией

Question

Можно ли проверить состояние отзыва клиентского сертификата x509 через CRL в spring-security перед его аутентификацией?Я проверил документацию (http://static.springsource.org/spring-security/site/docs/3.0.x/reference/x509.html), но ничего не говорится о CRL.

Реализация UserService дает только имя пользователя, а не сертификат X509. Любая помощь будет принята!

Спасибо!

Answer 1

Я не уверен в специфике Spring-Security, но если он основан на менеджерах доверия JRE (если это Oracle / Sun JRE), вы можете активировать проверки CRL, установив для этих системных свойств значение * 1001. *: com.sun.net.ssl.checkRevocation и com.sun.security.enableCRLDP и установка Security.setProperty("ocsp.enable", "true") (спасибо @WillSargent за указание на то, что это свойство Security, а не системное).

Подробнее здесь:

• http://docs.oracle.com/javase/6/docs/technotes/guides/security/jsse/JSSERefGuide.html#CERTPATH
• http://docs.oracle.com/javase/6/docs/technotes/guides/security/certpath/CertPathProgGuide.html#AppC
• http://blogs.oracle.com/xuelei/entry/enable_ocsp_checking

Answer 2

Рукопожатие SSL выполняется контейнером сервлетов, а не Spring Security, поэтому любая проверка CRL, вероятно, должна произойти в этот момент. Spring Security рассматривает это как сценарий «предварительной аутентификации».

Spring Security просто считывает (уже SSL-аутентифицированный) сертификат и позволяет связать его с учетной записью локального пользователя.