Configuración de la consulta del estado de revocación de los certificados

El uso del fichero revocados.properties, situado en la carpeta conf, permite ampliar los lugares donde consultar el estado de revocación de los certificados respecto a la información que el propio certificado trae. Esta facilidad se ha implementado para poder hacer uso de aquellos certificados que no aporten dicha información de manera autosuficiente, por ejemplo, cuando incluyen el nombre de la lista crl pero no la dirección donde consultarla.

El contenido del fichero puede tener tantos bloques como el siguiente como sean necesarios:

nombre.ca.0=Nombre CA
ldap.0=
ocsp.0=
crl.0.0=
crl.0.1=
crl.0.2=

En el registro “nombre.ca.n=” debe escribirse una palabra clave que identifique todos los certificados emitidos por una misma CA y que se encuentre tanto en el DN del emisor del certificado firmante como en todos los DN de los certificados de la ruta de certificación del mismo, por ejemplo “FMNT”, “DNIE”, “SWIFT”, etc.

En el registro “ocsp.0=” se escribirá la dirección URL para conectarse al servidor OCSP, por ejemplo http://ocsp.dnie.es.

En el registro “ldap.0=” se escribirá la dirección LDAP para conectarse al servidor. En el caso de que esa información venga ya incluida en el certificado no es necesario indicarla.

En los registros “crl.0.n=”, se referirán tantos como sean necesarios para cada CA, se indicarán direcciones donde consultar la lista de CRL e incluso simplemente los nombres de las CRL, en este caso la lista deberá estar descargada en la subcarpeta crl.

La consulta se hace en primer lugar donde indica el propio certificado. Si la información no es autosuficiente y la búsqueda no se puede llegar a realizar entonces se busca la lista descargada en la carpeta crl. Si tampoco está se continúa buscando en los lugares indicados en revocados.properties, en el mismo orden en el que aparecen las entradas de la CA correspondiente (según el ejemplo se buscaría primero en ocsp.0, luego en crl.0.0, crl.0.1, etc.).