Java X509证书解析和验证
我试图分几个步骤处理X509证书,并遇到了两个问题。我是JCE的新手,所以我还没有完全了解最新信息。
我们希望能够基于不同的编码(PEM,DER和PCKS7)解析几个不同的X509证书。我已经使用FireFox
从https://belgium.be以PEM和PCKS7格式导出了相同的证书(证书包括链)。我已经省略了几行不需要的问题
public List<X509Certificate> parse(FileInputStream fis) {
/*
* Generate a X509 Certificate initialized with the data read from the inputstream.
* NOTE: Generation fails when using BufferedInputStream on PKCS7 certificates.
*/
List<X509Certificate> certificates = null;
log.debug("Parsing new certificate.");
certificates = (List<X509Certificate>) cf.generateCertificates(fis);
return certificates;
}
只要我使用FileInputStream而不是PCKS7的BufferedInputStream,此代码就可以正常工作,我认为这已经很奇怪了吗?但我可以忍受。
下一步是验证这些证书链。1)检查所有证书是否都具有有效日期(容易)2)使用OCSP验证证书链(如果在证书中未找到OCSP
URL,则回退到CRL)。这是我不确定如何处理的地方。
我正在使用Sun JCE,但是似乎没有太多可用的文档(在示例中)?
我首先做了一个简单的实现,它只检查链而不进行OCSP / CRL检查。
private Boolean validateChain(List<X509Certificate> certificates) {
PKIXParameters params;
CertPath certPath;
CertPathValidator certPathValidator;
Boolean valid = Boolean.FALSE;
params = new PKIXParameters(keyStore);
params.setRevocationEnabled(false);
certPath = cf.generateCertPath(certificates);
certPathValidator = CertPathValidator.getInstance("PKIX");
PKIXCertPathValidatorResult result = (PKIXCertPathValidatorResult)
certPathValidator.validate(certPath, params);
if(null != result) {
valid = Boolean.TRUE;
}
return valid;
}
这对我的PEM证书来说运行良好,但对PCKS7证书却无效(相同的证书,仅以其他格式导出)。
java.security.cert.CertPathValidatorException:路径不与任何信任锚链接。
我能看到的唯一区别是CertPath的形成顺序不相同?我无法弄清楚出了什么问题,所以我现在就离开了,继续使用PEM证书,但我们将此称为问题1;)
之后我想要实现的是OCSP检查。显然,如果我使用以下方法启用OCSP: Security.setProperty(“ ocsp.enable”,“
true”); 并设置 params.setRevocationEnabled(true); 它应该能够自行找到OCSP
URL,但是事实并非如此。标准实现应该做些什么(问题2)?
java.security.cert.CertPathValidatorException:必须指定OCSP响应程序的位置
超越这一点,我找到了一种使用AuthorityInfoAccessExtension等从证书中检索OCSP URL的方法。
但是,在ocsp.url属性中手动设置了OCSP url之后,我得到了
java.security.cert.CertPathValidatorException:OCSP响应错误:未授权
似乎我缺少了许多必要的步骤,而许多在线参考都说设置 ocsp.enable 属性应该是您所需要的?
也许你们中的任何一位向导都无法指导我完成此过程?告诉我我完全错了:)
下一步将是执行CRL检查,如果未找到OCSP,是否有人可以指出任何示例或向我显示一些文档,这也将不胜感激!
谢谢!
编辑: 由于它本身不是自行选择属性,因此我一直在尝试使用以下方法自行设置所有属性:
// Activate OCSP
Security.setProperty("ocsp.enable", "true");
// Activate CRLDP -- no idea what this is
Security.setProperty("com.sun.security.enableCRLDP", "true");
X509Certificate target = (X509Certificate) certPath.getCertificates().get(0);
Security.setProperty("ocsp.responderURL","http://ocsp.pki.belgium.be/");
Security.setProperty("ocsp.responderCertIssuerName", target.getIssuerX500Principal().getName());
Security.setProperty("ocsp.responderCertSubjectName", target.getSubjectX500Principal().getName());
Security.setProperty("ocsp.responderCertSerialNumber", target.getSerialNumber().toString(16));
发生异常:java.security.cert.CertPathValidatorException:找不到响应者的证书(使用OCSP安全属性设置)。
问题答案:
为了将来参考,我将发布我自己问题的答案(部分至少)
OCSP和CRL检查已经在标准Java实现中实现,并且不需要自定义代码或其他提供程序(BC,..)。默认情况下禁用它们。
为此,您必须至少设置两个参数:
(PKIXParameters or PKIXParameterBuilder) params.setRevocationEnabled(true);
Security.setProperty("ocsp.enable", "true");
当您尝试验证证书路径(PKIXCertPathValidatorResult.validate())时,这将激活OCSP检查。
如果没有可用的OCSP时要添加CRL的后备检查,请添加其他属性:
System.setProperty("com.sun.security.enableCRLDP", "true");
由于我必须支持不同的证书格式(PKCS7,PEM),因此发生了很多问题。我的实现对于PEM来说运行良好,但是由于PKCS7不会将证书的顺序保存在链中,因此会有点困难(http://bugs.sun.com/view_bug.do?bug_id=6238093)
X509CertSelector targetConstraints = new X509CertSelector();
targetConstraints.setCertificate(certificates.get(0));
// Here's the issue for PKCS7 certificates since they are not ordered,
// but I havent figured out how I can see what the target certificate
// (lowest level) is in the incoming certificates..
PKIXBuilderParameters params = new PKIXBuilderParameters(anchors, targetConstraints);
希望这对其他人也有用,也许有人可以阐明如何在无序的PKCS7列表中找到目标证书?
-
下一步是验证这些证书链。1)检查所有证书是否有有效日期(简单)2)使用OCSP验证证书链(如果在证书中没有发现OCSP URL,则返回CRL)。 我使用的是Sun JCE,但似乎没有那么多可用的文档(示例)? 我首先做了一个简单的实现,它只检查链,而不经过OCSP/CRL检查。 但是在OCSP.url属性中手动设置OCSP url之后,我得到了一个java.security.cert.certPa
-
问题内容: 在我们的iOS项目中,我们将用于生成AdHoc和AppStore构建的签名证书和供应配置文件都提交给版本控制存储库。这样,每当新开发人员下载该应用程序的新副本时,他就拥有了为测试人员创建AdHoc构建所需的一切。 我们正在使用Jenkins进行持续集成,我希望有一个脚本可以对提交的文件进行完整性检查。特别是,我想检查提交的配置文件是否确实是使用在存储库中提交的签名证书生成的。 有谁知道
-
问题内容: 任何推荐的Java加密库。我需要的是解析X.509证书以提取其中包含的信息的能力。 谢谢 问题答案: 在Java中,为java.security.cert.CertificateFactory。 “用于X.509的证书工厂必须返回作为java.security.cert.X509Certificate实例的证书”
-
主要内容:Linux RPM 包校验,Linux RPM数字证书验证执行 命令可以看到,Linux 系统中装有大量的 RPM 包,且每个包都含有大量的安装文件。因此,为了能够及时发现文件误删、误修改文件数据、恶意篡改文件内容等问题,Linux 提供了以下两种监控(检测)方式: RPM 包校验:其实就是将已安装文件和 /var/lib/rpm/ 目录下的数据库内容进行比较,确定文件内容是否被修改。 RPM 包数字证书校验:用来校验 RPM 包本身是否被修改。 L
-
问题内容: 在Windows Vista SP2 + Python 2.7.10上,我可以连接到https://www.python.org,但不能连接到https://codereview.appspot.com 剧本: 并输出: 如何解决问题,https://codereview.appspot.com/到底有什么问题? 问题答案: 我的猜测是,它与OpenSSL中的替代链处理有关,如Pyth
-
问题内容: 我正在尝试通过调用HTTPS REST API 。在开发过程中,我偶然发现以下错误: 因此,我在Google上搜索了一下,并找到了很多可行的解决方案。 使用Jersey客户端的HTTPS https://gist.github.com/outbounder/1069465 如何解决“ java.security.cert.CertificateException:不存在使用者替代名称”