2021-10-27 End user tried to act as a CA 与 证书验证

于 2021-10-28 00:37:20 发布
阅读量386 收藏
点赞数
分类专栏: Java 日总结 追杀 文章标签: Java X509 证书验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/khz_222/article/details/121004586
版权
Java 同时被 3 个专栏收录
11 篇文章 0 订阅
订阅专栏
追杀
8 篇文章 0 订阅
订阅专栏
日总结
7 篇文章 0 订阅
订阅专栏

那天同事换ELB证书后访问域名出现错误:End user tried to act as a CA 最终用户想冒充CA,什么意思嘞? 我在github上找到open-jdk代码,搜索它,看到是类SimpleValidator,接着回到IDE,找出这个异常抛出的地儿:
就是说,没有找到BasicConstraints这个拓展属性,它的Id是2.5.29.19,可以从类sun.security.x509.X509CertImpl再追到sun.security.util.ObjectIdentifier.PKIXExtensions中列举了所有证书属性OID与名称

代码分析

我直接复制反编译的代码,这种无名变量看起来问题也不是很大。

private int checkBasicConstraints(X509Certificate var1, Set<String> var2, int var3) throws CertificateException {
        var2.remove("2.5.29.19");
        int var4 = var1.getBasicConstraints();
        if (var4 < 0) {
            throw new ValidatorException("End user tried to act as a CA", ValidatorException.T_CA_EXTENSIONS, var1);
        } else {
            if (!X509CertImpl.isSelfIssued(var1)) {
                if (var3 <= 0) {
                    throw new ValidatorException("Violated path length constraints", ValidatorException.T_CA_EXTENSIONS, var1);
                }
                --var3;
            }
            if (var3 > var4) {
                var3 = var4;
            }
            return var3;
        }
    }

再追,看到拓展属性检测里先获取证书OID,检测BasicConstraints,再检测key的作用等

    private int checkExtensions(X509Certificate var1, int var2) throws CertificateException {
        Set var3 = var1.getCriticalExtensionOIDs();
        if (var3 == null) {
            var3 = Collections.emptySet();
        }

        int var4 = this.checkBasicConstraints(var1, var3, var2);
        this.checkKeyUsage(var1, var3);
        this.checkNetscapeCertType(var1, var3);
        if (!var3.isEmpty()) {
            throw new ValidatorException("Certificate contains unknown critical extensions: " + var3, ValidatorException.T_CA_EXTENSIONS, var1);
        } else {
            return var4;
        }
    }

哪些证书会被检测扩展属性呢?我们再跟一下,来到关键的SimpleValiatorengineValidate方法。var1就是服务器发来的证书数组,这个数组的最后一个就是服务器证书,往前依次是中间CA证书;这里var2方法里根本没用,var3是指定的受限算法
总得验证过程是先验证服务器证书,再验证证书链中前后验证
服务器证书验证中:只验证证书是否在不受新信证书黑名单里$JAVA_HOME/lib/security/blacklisted.certs,
然后再构造算法验证器var10,
接下来的关键:一个for循环,把所有中间CA证书都验了个遍。注意var1.length - 2,从长度-2上看即跳过了最后一个证书,也就是服务器证书,倒着一个个验证:取出这个序列的证书,和下个证书(第一个循环里var13就是服务器证书),

  1. 先进行证书黑名单var6验证
  2. 再进行受限算法验证,可以看到有指定受限算法和系统指定的受限算法,sun.security.provider.certpath.AlgorithmChecker#check方法可是非常复杂,这里只指出系统指定的受限算法获取方法:Security.getProperty("jdk.certpath.disabledAlgorithms") windows输出MD2, MD5, RSA keySize < 1024 同时这里有个IBM参考文章:customization-disabled-restricted-cryptographic-algorithms 这里的算法是指什么呢?证书签名算法啊!其中(AlgorithmChecker)使用TrustAnchor主要是取出其publicKey作为prevPubKey
  3. 接下来进行有效性验证
  4. 前后证书签发者principal与主题principal验证(我也不知道怎么翻译):var14.getIssuerX500Principal().equals(var13.getSubjectX500Principal()
    比对的就是这个东西:CN=Duke, OU=JavaSoft, O=Sun Microsystems, C=US
    X500Principal This class represents an X.500 Principal. X500Principals are represented by distinguished names such as "CN=Duke, OU=JavaSoft, O=Sun Microsystems, C=US".
  5. 再用较上级CA证书验证下级证书的公钥签名,可以参考:X509CertImpl#verify(PublicKey var1),步骤也很多
  6. 最后,非最后一个证书,验证扩展属性,到了我们出问题那里!
X509Certificate[] engineValidate(X509Certificate[] var1, Collection<X509Certificate> var2, AlgorithmConstraints var3, Object var4) throws CertificateException {
        if (var1 != null && var1.length != 0) {
            var1 = this.buildTrustedChain(var1);
            Date var5 = this.validationDate;
            if (var5 == null) {
                var5 = new Date();
            }

            UntrustedChecker var6 = new UntrustedChecker();
            X509Certificate var7 = var1[var1.length - 1];

            try {
                var6.check(var7);
            } catch (CertPathValidatorException var18) {
                throw new ValidatorException("Untrusted certificate: " + var7.getSubjectX500Principal(), ValidatorException.T_UNTRUSTED_CERT, var7, var18);
            }

            TrustAnchor var8 = new TrustAnchor(var7, (byte[])null);
            AlgorithmChecker var9 = new AlgorithmChecker(var8);
            AlgorithmChecker var10 = null;
            if (var3 != null) {
                var10 = new AlgorithmChecker(var8, var3);
            }

            int var11 = var1.length - 1;

            for(int var12 = var1.length - 2; var12 >= 0; --var12) {
                X509Certificate var13 = var1[var12 + 1];
                X509Certificate var14 = var1[var12];

                try {
                    var6.check(var14, Collections.emptySet());
                } catch (CertPathValidatorException var17) {
                    throw new ValidatorException("Untrusted certificate: " + var14.getSubjectX500Principal(), ValidatorException.T_UNTRUSTED_CERT, var14, var17);
                }

                try {
                    var9.check(var14, Collections.emptySet());
                    if (var10 != null) {
                        var10.check(var14, Collections.emptySet());
                    }
                } catch (CertPathValidatorException var19) {
                    throw new ValidatorException(ValidatorException.T_ALGORITHM_DISABLED, var14, var19);
                }

                if (!this.variant.equals("code signing") && !this.variant.equals("jce signing")) {
                    var14.checkValidity(var5);
                }

                if (!var14.getIssuerX500Principal().equals(var13.getSubjectX500Principal())) {
                    throw new ValidatorException(ValidatorException.T_NAME_CHAINING, var14);
                }

                try {
                    var14.verify(var13.getPublicKey());
                } catch (GeneralSecurityException var16) {
                    throw new ValidatorException(ValidatorException.T_SIGNATURE_ERROR, var14, var16);
                }

                if (var12 != 0) {
                    var11 = this.checkExtensions(var14, var11);
                }
            }
            return var1;
        } else {
            throw new CertificateException("null or zero-length certificate chain");
        }
    }
错误的原因

所以我们证书验证不通过是扩展属性验证不通过,为什么呢?

  1. 自己颁发的证书错误,没有填充拓展字段 OID 2.5.29.19 BasicConstrains
  2. AWS上传证书错误,AWS上传证书那里有三个框,服务器证书,证书链,CA;我们在证书链那里也上传的pem也含了服务器证书
后记
  1. java.security.为什么继承自Properties难以理解。
Wizard Rubick
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
A-Practical-Guide-to-LATEX-Tips.pdf
01-11
I have tried to pack the most useful tricks which can enhance your documents’ content in a concise way. The aim is not to teach LATEX programming, but to give a quick reference to all the tips and ...
X509证书以及相关java常用接口
最新发布
学习不止境的博客
04-17 5315
例如,如果getNotAfter()返回的值是1649992800000,那么证书的过期日期是2023年4月14日23:59:59 GMT。例如,如果getNotBefore()返回的值是1618476000000,那么证书的生效日期是2021年4月15日00:00:00 GMT。例如,.pem格式的证书是以Base64编码的ASCII文本格式,.crt格式的证书通常是PEM编码的,而.cer格式的证书可以是DER编码或PEM编码。和之前的getIssueDn不同的是,前者是证书持有者,后者是证书颁发者。
Android 中文数字证书解释
suntongo的专栏
08-27 2902
在智能移动设备信息安全倍受zh'o
java读取X509拓展_java - 如何从Java中的X509Certificate中提取CN? - 堆栈内存溢出
weixin_29385641的博客
02-25 1335
===============>>#1 票数:90这是另一种方式。 您的想法是您获得的DN是rfc2253格式,与LDAP DN使用的格式相同。 那么为什么不重用LDAP API呢?import javax.naming.ldap.LdapName;import javax.naming.ldap.Rdn;String dn = x509cert.getSubjectX500Pri...
Step-Core comsol for b values_dealfja_COMSOLMultiphysics_tried73
10-04
Step core varying b model
tried-hotwired
03-14
自述文件 该自述文件通常会记录启动和运行应用程序所需的所有步骤。 您可能要讲的内容: Ruby版本 系统依赖 配置 数据库创建 数据库初始化 如何运行测试套件 服务(作业队列,缓存服务器,搜索引擎等) ...
八年级英语下册 Unit 6 An old man tried to move the mountains Section A同
09-08
八年级英语下册 Unit 6 An old man tried to move the mountains Section A同步优化训练 (新版)人教新目标版
八年级英语下册 Unit 6 An old man tried to move the mountains(Section A
08-19
八年级英语下册 Unit 6 An old man tried to move the mountains(Section A 1a-2d)导学案(无答案)(新版)人教新目标版
HBASE: java.lang.IllegalAccessError: tried to access method com.google.common.base.Stopwatch.<init>
热门推荐
飞流
08-31 3万+
hbase查询时,出现以下异常: Caused by: org.apache.hadoop.hbase.DoNotRetryIOException: java.lang.IllegalAccessError: tried to access method com.google.common.base.Stopwatch.()V from class org.apache.hadoop.hbase
tried to access method org.apache.poi.util.POILogg
chilai2005的博客
04-12 307
'org.apache.poi:poi:3.14', 'org.apache.poi:poi-ooxml:3.14', 'org.apache.poi:poi-ooxml-schemas:3.14' 这三个包都需要导入, 并且版本要一致 ...
Android 7.0系统校验证书流程
梦翼-的博客
09-25 5618
Android系统在建立HTTPS三次握手后会进行证书校验,接下来根据android 7.0系统代码来看一下证书校验流程   当我们校验证书的时候首先需要创建一个android.security.net.config.RootTrustMangaer对象,然后调用它的checkServerTrusted 1、证书校验入口函数   @Override public void chec
获取证书实例
albb_的博客
05-27 1378
public static X509Certificate getCert(String fileName) throws Exception {//从一个有效的证书文件来创建证书.. InputStream inStream = new FileInputStream(fileName); CertificateFactory cf = CertificateFactory.ge...
如何验证Android系统中APK证书链的有效性
azurelaker的博客
11-03 2526
证书
java的ucc层是什么_如何在Java中生成多域(UCC)证书
weixin_39552286的博客
02-25 121
目前我正在使用BouncyCastle库生成证书.像这样的东西:X509V3CertificateGenerator certGenerator = new X509V3CertificateGenerator();certGenerator.setIssuerDN( rootCertificate.getSubjectX500Principal() );certGenerator.setSign...
Java生成CSR创建证书
Jinhill's Blog
12-27 2万+
Java生成CSR,签发证书package com.jinhill.cert; import java.io.ByteArrayInputStream; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.FileWriter; import java.io.IOException; im
java 数字证书信息的获取实例-java学习笔记(2)
abysshal的专栏
02-08 766
 用java提供的api实现从证书文件(本实例实验对象为*.cer文件)中获取有效信息的方法.. public static X509Certificate getCert(String fileName) throws Exception {//从一个有效的证书文件来创建证书.. InputStream inStream = new FileInputStream(fil
Android密钥库系统KeyStore
Samlss的博客
06-23 8025
1.什么是密钥库系统? 利用 Android 密钥库系统,您可以在容器中存储加密密钥,从而提高从设备中提取密钥的难度。在密钥进入密钥库后,可以将它们用于加密操作,而密钥材料仍不可导出。此外,它提供了密钥使用的时间和方式限制措施,例如要求进行用户身份验证才能使用密钥,或者限制为只能在某些加密模式中使用。 密钥库系统并不是让程序直接进行存储程序的私密信息的,比如说用户账号密码,其提供了一个密钥安全...
tf.function-decorated function tried to create variables on non-first call
03-14
这个错误通常是由于在 tf.function 装饰的函数中,尝试在非第一次调用时创建变量所导致的。这是因为 tf.function 会将函数编译成图形,而图形中的变量只能在第一次调用时创建。如果您需要在函数中创建变量,请将其...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值