2021-10-27 End user tried to act as a CA 与 证书验证

最新推荐文章于 2024-04-24 17:07:39 发布
最新推荐文章于 2024-04-24 17:07:39 发布
阅读量465 收藏
点赞数
分类专栏: Java 日总结 追杀 文章标签: Java X509 证书验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KHZ_222/article/details/121004586
版权
Java 同时被 3 个专栏收录
11 篇文章 0 订阅
订阅专栏
追杀
8 篇文章 0 订阅
订阅专栏
日总结
7 篇文章 0 订阅
订阅专栏
本文探讨了一次证书验证过程中遇到的错误,重点在于服务器证书缺少BasicConstraints扩展属性,导致EndusertriedtoactasaCA异常。作者通过深入Java代码剖析,揭示了验证流程,包括服务器证书检查、扩展属性验证和证书链的逐级验证。问题解决与AWS证书上传的细节也做了说明。
摘要由CSDN通过智能技术生成

那天同事换ELB证书后访问域名出现错误:End user tried to act as a CA 最终用户想冒充CA,什么意思嘞? 我在github上找到open-jdk代码,搜索它,看到是类SimpleValidator,接着回到IDE,找出这个异常抛出的地儿:
就是说,没有找到BasicConstraints这个拓展属性,它的Id是2.5.29.19,可以从类sun.security.x509.X509CertImpl再追到sun.security.util.ObjectIdentifier.PKIXExtensions中列举了所有证书属性OID与名称

代码分析

我直接复制反编译的代码,这种无名变量看起来问题也不是很大。

private int checkBasicConstraints(X509Certificate var1, Set<String> var2, int var3) throws CertificateException {
        var2.remove("2.5.29.19");
        int var4 = var1.getBasicConstraints();
        if (var4 < 0) {
            throw new ValidatorException("End user tried to act as a CA", ValidatorException.T_CA_EXTENSIONS, var1);
        } else {
            if (!X509CertImpl.isSelfIssued(var1)) {
                if (var3 <= 0) {
                    throw new ValidatorException("Violated path length constraints", ValidatorException.T_CA_EXTENSIONS, var1);
                }
                --var3;
            }
            if (var3 > var4) {
                var3 = var4;
            }
            return var3;
        }
    }

再追,看到拓展属性检测里先获取证书OID,检测BasicConstraints,再检测key的作用等

    private int checkExtensions(X509Certificate var1, int var2) throws CertificateException {
        Set var3 = var1.getCriticalExtensionOIDs();
        if (var3 == null) {
            var3 = Collections.emptySet();
        }

        int var4 = this.checkBasicConstraints(var1, var3, var2);
        this.checkKeyUsage(var1, var3);
        this.checkNetscapeCertType(var1, var3);
        if (!var3.isEmpty()) {
            throw new ValidatorException("Certificate contains unknown critical extensions: " + var3, ValidatorException.T_CA_EXTENSIONS, var1);
        } else {
            return var4;
        }
    }

哪些证书会被检测扩展属性呢?我们再跟一下,来到关键的SimpleValiatorengineValidate方法。var1就是服务器发来的证书数组,这个数组的最后一个就是服务器证书,往前依次是中间CA证书;这里var2方法里根本没用,var3是指定的受限算法
总得验证过程是先验证服务器证书,再验证证书链中前后验证
服务器证书验证中:只验证证书是否在不受新信证书黑名单里$JAVA_HOME/lib/security/blacklisted.certs,
然后再构造算法验证器var10,
接下来的关键:一个for循环,把所有中间CA证书都验了个遍。注意var1.length - 2,从长度-2上看即跳过了最后一个证书,也就是服务器证书,倒着一个个验证:取出这个序列的证书,和下个证书(第一个循环里var13就是服务器证书),

  1. 先进行证书黑名单var6验证
  2. 再进行受限算法验证,可以看到有指定受限算法和系统指定的受限算法,sun.security.provider.certpath.AlgorithmChecker#check方法可是非常复杂,这里只指出系统指定的受限算法获取方法:Security.getProperty("jdk.certpath.disabledAlgorithms") windows输出MD2, MD5, RSA keySize < 1024 同时这里有个IBM参考文章:customization-disabled-restricted-cryptographic-algorithms 这里的算法是指什么呢?证书签名算法啊!其中(AlgorithmChecker)使用TrustAnchor主要是取出其publicKey作为prevPubKey
  3. 接下来进行有效性验证
  4. 前后证书签发者principal与主题principal验证(我也不知道怎么翻译):var14.getIssuerX500Principal().equals(var13.getSubjectX500Principal()
    比对的就是这个东西:CN=Duke, OU=JavaSoft, O=Sun Microsystems, C=US
    X500Principal This class represents an X.500 Principal. X500Principals are represented by distinguished names such as "CN=Duke, OU=JavaSoft, O=Sun Microsystems, C=US".
  5. 再用较上级CA证书验证下级证书的公钥签名,可以参考:X509CertImpl#verify(PublicKey var1),步骤也很多
  6. 最后,非最后一个证书,验证扩展属性,到了我们出问题那里!
X509Certificate[] engineValidate(X509Certificate[] var1, Collection<X509Certificate> var2, AlgorithmConstraints var3, Object var4) throws CertificateException {
        if (var1 != null && var1.length != 0) {
            var1 = this.buildTrustedChain(var1);
            Date var5 = this.validationDate;
            if (var5 == null) {
                var5 = new Date();
            }

            UntrustedChecker var6 = new UntrustedChecker();
            X509Certificate var7 = var1[var1.length - 1];

            try {
                var6.check(var7);
            } catch (CertPathValidatorException var18) {
                throw new ValidatorException("Untrusted certificate: " + var7.getSubjectX500Principal(), ValidatorException.T_UNTRUSTED_CERT, var7, var18);
            }

            TrustAnchor var8 = new TrustAnchor(var7, (byte[])null);
            AlgorithmChecker var9 = new AlgorithmChecker(var8);
            AlgorithmChecker var10 = null;
            if (var3 != null) {
                var10 = new AlgorithmChecker(var8, var3);
            }

            int var11 = var1.length - 1;

            for(int var12 = var1.length - 2; var12 >= 0; --var12) {
                X509Certificate var13 = var1[var12 + 1];
                X509Certificate var14 = var1[var12];

                try {
                    var6.check(var14, Collections.emptySet());
                } catch (CertPathValidatorException var17) {
                    throw new ValidatorException("Untrusted certificate: " + var14.getSubjectX500Principal(), ValidatorException.T_UNTRUSTED_CERT, var14, var17);
                }

                try {
                    var9.check(var14, Collections.emptySet());
                    if (var10 != null) {
                        var10.check(var14, Collections.emptySet());
                    }
                } catch (CertPathValidatorException var19) {
                    throw new ValidatorException(ValidatorException.T_ALGORITHM_DISABLED, var14, var19);
                }

                if (!this.variant.equals("code signing") && !this.variant.equals("jce signing")) {
                    var14.checkValidity(var5);
                }

                if (!var14.getIssuerX500Principal().equals(var13.getSubjectX500Principal())) {
                    throw new ValidatorException(ValidatorException.T_NAME_CHAINING, var14);
                }

                try {
                    var14.verify(var13.getPublicKey());
                } catch (GeneralSecurityException var16) {
                    throw new ValidatorException(ValidatorException.T_SIGNATURE_ERROR, var14, var16);
                }

                if (var12 != 0) {
                    var11 = this.checkExtensions(var14, var11);
                }
            }
            return var1;
        } else {
            throw new CertificateException("null or zero-length certificate chain");
        }
    }
错误的原因

所以我们证书验证不通过是扩展属性验证不通过,为什么呢?

  1. 自己颁发的证书错误,没有填充拓展字段 OID 2.5.29.19 BasicConstrains
  2. AWS上传证书错误,AWS上传证书那里有三个框,服务器证书,证书链,CA;我们在证书链那里也上传的pem也含了服务器证书
后记
  1. java.security.为什么继承自Properties难以理解。
成功解决torch.cuda.OutOfMemoryError: CUDA out of memory. Tried to allocate 86.00 MiB (GPU 0; 2.00 GiB to
近期请国内外头部出版社可尽快私信博主!——心比天高,仗剑走天涯,保持热爱,奔赴向梦想!低调,谦虚,自律,反思,成长,还算是比较正能量的博主,公益免费传播……内心特别想在AI界做出一些可以推进历史进程影响力的东西(兴趣使然,有点小情怀,也有点使命感呀)…
06-02 1万+
​ 成功解决torch.cuda.OutOfMemoryError: CUDA out of memory. Tried to allocate 86.00 MiB (GPU 0; 2.00 GiB total capacity; 1.67 GiB already allocated; 0 bytes free; 1.67 GiB reserved in total by PyTorch) If reserved memory is >> allocated memory try setting max_s
调用https接口时报错:sun.security.validator.ValidatorException
懵懂无知的蜗牛的博客
02-15 1万+
1、现象 调用https接口报如下错误: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requ...
X509证书以及相关java常用接口
学习不止境的博客
04-17 7224
例如,如果getNotAfter()返回的值是1649992800000,那么证书的过期日期是2023年4月14日23:59:59 GMT。例如,如果getNotBefore()返回的值是1618476000000,那么证书的生效日期是2021年4月15日00:00:00 GMT。例如,.pem格式的证书是以Base64编码的ASCII文本格式,.crt格式的证书通常是PEM编码的,而.cer格式的证书可以是DER编码或PEM编码。和之前的getIssueDn不同的是,前者是证书持有者,后者是证书颁发者。
深入解析 X509Certificate:成员变量与方法详解
最新发布
一起coding,一起嗨。
04-24 974
深入解析 X509Certificate:成员变量与方法详解
java读取X509拓展_java - 如何从Java中的X509Certificate中提取CN? - 堆栈内存溢出
weixin_29385641的博客
02-25 1485
===============>>#1 票数:90这是另一种方式。 您的想法是您获得的DN是rfc2253格式,与LDAP DN使用的格式相同。 那么为什么不重用LDAP API呢?import javax.naming.ldap.LdapName;import javax.naming.ldap.Rdn;String dn = x509cert.getSubjectX500Pri...
X.509 数字证书结构和实例
weixin_34367845的博客
08-28 1365
  一、 X.509数字证书的编码 X.509证书的结构是用ASN1(Abstract Syntax Notation One)进行描述数据结构,并使用ASN1语法进行编码。 ASN1采用一个个的数据块来描述整个数据结构,每个数据块都有四个部分组成: 1、数据块数据类型标识(一个字节) 数据类型包括简单类型和结构类型。 简单类型是不能再分解类型,如整型(INTERGER)、比特串(BI...
精品资料(2021-2022年收藏)青海省青海师范大学附属第二中学20142015学年高一下学期期中考试英语试题答案不全.doc
10-10
10. 动词短语与人称代词顺序:cheer sb. up使某人振作,人称代词放中间,所以是A. cheer him up。 11. 乘法表达法:第十一题涉及乘法规则,2乘以4等于8,用过去分词multiplied表示被动关系。 12. 倍数表达:twice ...
【Error】Unable to connect to a as user root com.jcraft.jsch.JSchException: Auth failUnable to connect
HR的博客
12-27 854
在搭建Hadoop HA时所遇到的问题,具体报错如下 com.jcraft.jsch.JSchException: Auth fail at com.jcraft.jsch.Session.connect(Session.java:452) at org.apache.hadoop.ha.SshFenceByTcpPort.tryFence(SshFenceByTcpPort.java:100) at org.apache.hadoop.ha.NodeFencer.fence(NodeFencer.j
优秀资料(2021-2022年收藏)湘少版六年级下册英语复习资料汇总.doc
09-29
而“try to”则表示努力尝试,同样跟动词原形,如:“Lingling tried to skate”。 Unit 3讲解了“Have you got...?”的问句,用于询问某人是否拥有某物,例如:“Have you got enough money?”。此外,还涉及一般...
专题资料(2021-2022年收藏)江苏省永丰初级中学英语八年级上册 Unit 1 Friends教案2.doc
10-06
”(She tried her best to catch up with her classmates.) 3. **同意**: - `agree with sb.` 指同意某人的观点或意见,例如:“你同意走路回家吗?”(Do you agree with me to walk home?) - `agree to sth...
tried to access method org.apache.poi.util.POILogg
chilai2005的博客
04-12 339
'org.apache.poi:poi:3.14', 'org.apache.poi:poi-ooxml:3.14', 'org.apache.poi:poi-ooxml-schemas:3.14' 这三个包都需要导入, 并且版本要一致 ...
sun.security.validator.ValidatorException:PKIX path building failed 证书问题解决
weixin_40188817的博客
09-02 8512
前几天公司项目需要对接一个第三方系统的接口,直接用ip可以直接访问,但是对方改用https后会出现证书问题。 下面还有其他错,懒的截了,反正都是证书方面的问题。(下面的*****是公司域名,不方便展示) 解决方案: 1.拿到目标地址证书pem和key2个,放到源服务器/opt/***** 目录下 cd /opt/***** 2.进入JDK的security路径 ls /o...
Android 7.0系统校验证书流程
梦翼-的博客
09-25 5727
Android系统在建立HTTPS三次握手后会进行证书校验,接下来根据android 7.0系统代码来看一下证书校验流程   当我们校验证书的时候首先需要创建一个android.security.net.config.RootTrustMangaer对象,然后调用它的checkServerTrusted 1、证书校验入口函数   @Override public void chec
如何验证Android系统中APK证书链的有效性
azurelaker的博客
11-03 2645
证书
获取证书实例
albb_的博客
05-27 1417
public static X509Certificate getCert(String fileName) throws Exception {//从一个有效的证书文件来创建证书.. InputStream inStream = new FileInputStream(fileName); CertificateFactory cf = CertificateFactory.ge...
Java生成CSR创建证书
热门推荐
Jinhill's Blog
12-27 2万+
Java生成CSR,签发证书package com.jinhill.cert; import java.io.ByteArrayInputStream; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.FileWriter; import java.io.IOException; im
Android密钥库系统KeyStore
Samlss的博客
06-23 8237
1.什么是密钥库系统? 利用 Android 密钥库系统,您可以在容器中存储加密密钥,从而提高从设备中提取密钥的难度。在密钥进入密钥库后,可以将它们用于加密操作,而密钥材料仍不可导出。此外,它提供了密钥使用的时间和方式限制措施,例如要求进行用户身份验证才能使用密钥,或者限制为只能在某些加密模式中使用。 密钥库系统并不是让程序直接进行存储程序的私密信息的,比如说用户账号密码,其提供了一个密钥安全...
java无法验证签名_java – KeyUsage不允许数字签名
weixin_34740753的博客
02-25 1143
我正在尝试从我的Java EE程序向需要证书身份验证的主机发送HTTPS请求.我有一个正确的密钥库文件,信任库和导入的CA,两个列表都显示证书在里面.但是我收到以下错误:javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: KeyUsage does not allow digital sig...
tf.function-decorated function tried to create variables on non-first call
03-14
这个错误通常是由于在 tf.function 装饰的函数中,尝试在非第一次调用时创建变量所导致的。这是因为 tf.function 会将函数编译成图形,而图形中的变量只能在第一次调用时创建。如果您需要在函数中创建变量,请将其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值