Сертификат Java-подписанного апплета отозван только на Mac OSX10.7 (Lion)

Question

У меня есть подписанный апплет, который отлично работает на Windows, Mac <= 10,6 и Linux. Однако на OSX Lion сертификат подписи аннулируется. Вот отладочная информация безопасности от консоли java: </p>

security: Loading certificates from Deployment session certificate store
security: Loaded certificates from Deployment session certificate store
security: Loading Root CA certificates from from keychain
security: Loaded Root CA certificates from from keychain
security: Validate the certificate chain using CertPath API
security: Obtain certificate collection in Root CA certificate store
security: Obtain certificate collection in Root CA certificate store
security: Obtain certificate collection in Root CA certificate store
security: jpicertstore.cert.getkeystore
security: No timestamping info available
security: Cannot find jurisdiction list file
security: The CRL support is enabled
security: PC Operating Center
security: ObjectId: 2.5.29.31 Criticality=false
CRLDistributionPoints [
  [DistributionPoint:
     [URIName: http://crl.thawte.com/ThawteCodeSigningCA.crl]
]]

security: Thawte Code Signing CA
security: ObjectId: 2.5.29.31 Criticality=false
CRLDistributionPoints [
  [DistributionPoint:
     [URIName: http://crl.thawte.com/ThawtePremiumServerCA.crl]
]]

security: Use CRL setting from certificate
security: The OCSP support is enabled
security: PC Operating Center
security: ObjectId: 1.3.6.1.5.5.7.1.1 Criticality=false
AuthorityInfoAccess [
  [
   accessMethod: 1.3.6.1.5.5.7.48.1
   accessLocation: URIName: http://ocsp.thawte.com]
]

security: This certificate does not have AIA extension
security: Use OCSP setting from certificate
network: Cache entry not found [url: http://crl.thawte.com/ThawtePremiumServerCA.crl, version: null]
network: Connecting http://crl.thawte.com/ThawtePremiumServerCA.crl with proxy=DIRECT
network: Connecting http://crl.thawte.com:80/ with proxy=DIRECT
network: Downloading resource: http://crl.thawte.com/ThawtePremiumServerCA.crl
    Content-Length: 181,278
    Content-Encoding: null
network: Wrote URL http://crl.thawte.com/ThawtePremiumServerCA.crl to File /Users/koutbo6/Library/Caches/Java/cache/6.0/38/2fb889a6-30a08967-temp
network: Connecting http://ocsp.thawte.com/ with proxy=DIRECT
network: Connecting http://ocsp.thawte.com:80/ with proxy=DIRECT
network: CleanupThread used 990300 us
network: Connecting http://ocsp.thawte.com/ with proxy=DIRECT
network: Connecting http://ocsp.thawte.com:80/ with proxy=DIRECT
security: This certificate has been revoked
Ignored exception: sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.CertPathValidatorException: Certificate has been revoked

Буду признателен за любые советы о том, как заставить подписанный апплет работать на Lion.

UPDATE:

вот серийный номер для сертификата: 28 A9 29 38 64 0D FC 5D 7D 1D 05 CE 7F 1D 81 E0

Я заметил следующее, на снежном барсе: если перейти к расширенным настройкам настроек Java и включить «Проверить сертификаты на отзыв с помощью CRL», я получаю ту же проблему, что и в lion.

Я проверяю настройки Lion Java, и эта опция была отключена, но сертификат все еще аннулирован

На снежном барсе я снова отключил эту опцию и все отлично работает

Answer 1

Может быть, Java использует глобальные настройки предпочтений в приложении «Keychain Access»?Это приложение можно найти в разделе Приложения> Утилиты> Доступ к цепочке для ключей.

Настройки по умолчанию указывают:

Online Certificate Status Protocol (OCSP): Best attempt
Certificate Revocation List (CSP): Best attempt
Priority: OCSP

Вы можете проверить, принимает ли приложение ваш сертификат, если (временно) включите OCSP и CRLoff.

В любом случае вам, вероятно, не следует использовать отозванный сертификат ...: -)

Answer 2

Вы пробовали это на машине без льва, которая никогда не запускала ваш апплет раньше?Возможно, другие машины, с которыми вы работали, уже доверяют вашему апплету.