论Java加密技术与Windows的结合 (6)

n CRL），这种方式很慢。

　　列表3显示关于isCertRevoked（）方法的Java代码片段。IsCertRevoked（）方法调用了两个本地函数，MSgetCRL（）和MSVerifyCertRevocation（）。MSgetCRL（）调用Microsoft函数CryptRetrieveObjectByURL（），如果CRL不在缓存中，它可以使CRL被下载。你不需要把CRL传递到Java中，因为它从来不用在Java中。函数MSCertVerifyRevocation（）调用Microsoft函数CertVerifyRevocatoin（）来确定一个证书是否被撤消了。列表4显示关于MSgetCRL（）和MSVerifyCertRevocation（）的代码片段。警告：当我第一次在Windows 2000 Server PC上测试CertVerifyRevocation（）时，它没有运行。在我将PC升级到Service Pack 2后，重新测试就很成功。

我们的确认程序中的isCertRevoked（）方法调用了两个本地函数：MSgetCRL（）和MSVerifyCertRevocation（） （如列表4所示）。
boolean isCertRevoked（X509Certificate cert,
int DontKnowFlag） {
byte[] certblob = cert.getEncoded（）；

// Does the cert have a CDP （
// CRL distribution point）???
byte[] CDPblob = cert.getExtensionValue（
"2.5.29.31"）；

// yes there is a CDP - ASN parse the CDP
String[] URLarray = MSF.MSparseCDP（CDPblob）；
for （int i=0； i＜URLARRAY.LENGTH； i++） String URL = URLarray[i]；
// go fetch that CRL
if （MSF.MSgetCRL（URL）） {
// url was fetched correctly
break；
}

// is the cert revoked???
int revocationStatus =
MSF.MSVerifyCertRevocation（certblob）；
switch （revocationStatus） {
case 0: // cert is revoked
return AskUserWhatHeWantsToDo（DontKnowFlag）；
case 1: // cert is not revoked
return false；
default:
}

// processing error - cannot determine
// if cert is revoked
return AskUserWhatHeWantsToDo（DontKnowFlag）；
}

函数MSgetCRL（）和MSVerifyCertRevocation（）由方法isCertRevoked（）调用（如列表3所示）。MSgetCRL（）调用Microsoft函数CryptRetrieveObjectByURL（），如果在缓存中没有CRL，可以用该函数来下载它。函数MSVerifyCertRevocation（）调用Microsoft函数CertVerifyRevocation（）来查看一个证书是否已被撤消。
MSgetCRL（jstring jurl）
{
if （!CryptRetrieveObjectByUrl（
url, CONTEXT_OID_CRL, 0, timeout*1000,
（LPVOID）&crl, NULL, NULL, NULL, NULL）） {
printf（"CryptRetrieveObjectByUrl failed\n"）；
// cached url is corrupted
DeleteUrlCacheEntry（url）；
return JNI_FALSE；
}
return JNI_TRUE；
}

MSVerifyCertRevocation （jbyteArray jCert）
{
rgpvContext[0] = （PVOID）pCertContext；
if （CertVerifyRevocation（X509_ASN_ENCODING,
CERT_CONTEXT_REVOCATION_TYPE, 1, rgpvContext,
0, NULL, &status）） {
return 1； // cert is not revoked
}

if （status.dwError == CRYPT_E_REVOKED）
return 0； // cert is revoked

return -2； // processing error
}

KeyManager

　　javax.net.ssl.X509KeyManager有六个方法：
　　· getClientAliases（）返回一组客户端别名。（这里的一个别名就是带有一个RSA私钥和证书的一个身份。）
　　· getServerAliases（）返回一组