Java X509证书解析和验证

我正在尝试分步处理X509证书，遇到了一些问题。我对JCE还不是很熟悉，所以有些东西需要重新了解。

我们希望能够解析几种不同编码方式的X509证书（PEM、DER和PCKS7）。我已经使用FireFox从https://belgium.be导出了相同的包含链的证书，并将其分别保存为PEM和PCKS7格式。以下省略了一些问题中不必要的内容。

public List<X509Certificate> parse(FileInputStream fis) {  
    /*
     * Generate a X509 Certificate initialized with the data read from the inputstream. 
     * NOTE: Generation fails when using BufferedInputStream on PKCS7 certificates.
     */
    List<X509Certificate> certificates = null;
      log.debug("Parsing new certificate.");
      certificates = (List<X509Certificate>) cf.generateCertificates(fis);
    return certificates;
  }

只要我使用FileInputStream而不是BufferedInputStream来处理PCKS7，这段代码就可以正常工作，这已经很奇怪了。但我可以接受这种情况。
接下来的步骤是验证这些证书链。 1）检查所有证书是否具有有效日期（容易） 2）使用OCSP验证证书链（如果在证书中找不到OCSP URL，则回退到CRL）。这是我不完全确定如何处理的地方。
我正在使用Sun JCE，但似乎没有太多可用的文档（示例）？
我首先进行了一个简单的实现，仅检查链路而不进行OCSP/CRL检查。

private Boolean validateChain(List<X509Certificate> certificates) {
    PKIXParameters params;
    CertPath certPath;
    CertPathValidator certPathValidator;
    Boolean valid = Boolean.FALSE;

    params = new PKIXParameters(keyStore);
    params.setRevocationEnabled(false);

    certPath = cf.generateCertPath(certificates);
    certPathValidator = CertPathValidator.getInstance("PKIX");

    PKIXCertPathValidatorResult result = (PKIXCertPathValidatorResult)  
    certPathValidator.validate(certPath, params);

      if(null != result) {
        valid = Boolean.TRUE;
      }
    return valid;
 }

对于我的 PEM 证书，这个代码可以正常工作，但是对于 PCKS7 证书（相同的证书，只是以其他格式导出），它就无法正常工作了。 java.security.cert.CertPathValidatorException: Path does not chain with any of the trust anchors.

我唯一能看到的区别是 CertPath 的形成顺序不同。我无法找出出了什么问题，所以我暂时放弃了，在 PEM 证书上继续进行，但是让我们称其为问题 1 ;)

之后我想实现 OCSP 检查。显然，如果我使用以下语句启用 OCSP：Security.setProperty("ocsp.enable", "true"); 并设置 params.setRevocationEnabled(true);，它应该能够自动找到 OCSP URL，但情况似乎并非如此。标准实现应该怎么做呢？（问题 2） java.security.cert.CertPathValidatorException: Must specify the location of an OCSP Responder

在经历这一切之后，我找到了一种方法来使用 AuthorityInfoAccessExtension 等检索证书中的 OCSP url。

但是，在手动设置 ocsp.url 属性的 OCSP url 后，我遇到了 java.security.cert.CertPathValidatorException: OCSP response error: UNAUTHORIZED 错误。

看起来我错过了很多必要的步骤，而很多在线参考资料都说设置 ocsp.enable 属性应该足够了？

也许你们中的任何一个聪明的孩子可以指导我完成这个过程吗？向我展示我完全错误的地方 :)

下一步将是在没有找到 OCSP 的情况下实现 CRL 检查，如果有人能指出任何示例或向我展示相关文档，我也将不胜感激！

谢谢！

编辑： 由于它无法自动获取属性，我一直在尝试使用以下代码手动设置所有属性:

    // Activate OCSP
        Security.setProperty("ocsp.enable", "true");
        // Activate CRLDP -- no idea what this is
        Security.setProperty("com.sun.security.enableCRLDP", "true");

        X509Certificate target = (X509Certificate) certPath.getCertificates().get(0);
        Security.setProperty("ocsp.responderURL","http://ocsp.pki.belgium.be/");
        Security.setProperty("ocsp.responderCertIssuerName", target.getIssuerX500Principal().getName());
        Security.setProperty("ocsp.responderCertSubjectName", target.getSubjectX500Principal().getName());
        Security.setProperty("ocsp.responderCertSerialNumber", target.getSerialNumber().toString(16));

出现异常： java.security.cert.CertPathValidatorException：找不到响应者的证书（使用OCSP安全属性进行设置）。