EJBCA操作说明(二)java操作

最新推荐文章于 2024-08-07 09:38:09 发布
最新推荐文章于 2024-08-07 09:38:09 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: ejbca 文章标签: java ejbca
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mengo1234/article/details/102311585
版权

ejbca web界面操作

代码下载地址

  • 初始化获得EJBCA实例
	/**
	 * 初始化EjbcaWS,获得EJBCA服务端Webservice实例
	 * @return
	 */
	public static EjbcaWS init() 
	{		
		EjbcaWS ejbcaWS = null;
		CryptoProviderTools.installBCProvider();
		System.setProperty("javax.net.ssl.keyStore","C:/Users/mango/Desktop/superadmin.p12");
		System.setProperty("javax.net.ssl.keyStoreType", "pkcs12");
		Provider tlsProvider = new TLSProvider();
		Security.addProvider(tlsProvider);
		Security.setProperty("ssl.TrustManagerFactory.algorithm", "AcceptAll");
		System.setProperty("javax.net.ssl.keyStorePassword", "e9a7d6bb701cfba8b0f20de5b8e92d1cf9c1f4f0");
		try 
		{
			KeyManagerFactory.getInstance("NewSunX509");
		} 
		catch (NoSuchAlgorithmException e1) 
		{	
			e1.printStackTrace();
		}
		Security.setProperty("ssl.KeyManagerFactory.algorithm", "NewSunX509");
 
		QName qname = new QName("http://ws.protocol.core.ejbca.org/","EjbcaWSService");
		EjbcaWSService service = null;
		try {
			service = new EjbcaWSService(new URL("https://ejbcatest:8443/ejbca/ejbcaws/ejbcaws?wsdl"), qname);
			ejbcaWS = service.getEjbcaWSPort();
		} catch (MalformedURLException e) {
			e.printStackTrace();
		}
		return ejbcaWS;
	}

采用域名的方式访问EJBCA服务端,则需要在客户端所在服务器hosts文件中加入服务器域名和IP。

 

  • 注册和更新终端实体

 

	/**
	 * 
	* @Title: editUser
	* @Description: 添加用户实例或更新用户实体
	* @param @param ejbcaWS
	* @param @param userName
	* @param @param passWord
	* @param @param caName
	* @param @throws ApprovalException_Exception
	* @param @throws AuthorizationDeniedException_Exception
	* @param @throws CADoesntExistsException_Exception
	* @param @throws EjbcaException_Exception
	* @param @throws UserDoesntFullfillEndEntityProfile_Exception
	* @param @throws WaitingForApprovalException_Exception
	* @param @throws IllegalQueryException_Exception
	* @param @throws EndEntityProfileNotFoundException_Exception    参数
	* @return void    返回类型
	* @throws
	 */
public static void  editUser(EjbcaWS ejbcaWS, String userName, String passWord, String caName, String certType) throws ApprovalException_Exception, AuthorizationDeniedException_Exception,
CADoesntExistsException_Exception, EjbcaException_Exception, UserDoesntFullfillEndEntityProfile_Exception,
 WaitingForApprovalException_Exception, IllegalQueryException_Exception, EndEntityProfileNotFoundException_Exception {

  // Test to add a user.
       final UserDataVOWS user = new UserDataVOWS();
       user.setUsername(userName);
       user.setPassword(passWord);
       user.setClearPwd(true);
       user.setSubjectDN("CN=" + userName);
       user.setCaName(caName);
       user.setEmail(null);
       user.setSubjectAltName(null);
       user.setStatus(EndEntityConstants.STATUS_NEW);
       user.setTokenType(certType);
       user.setEndEntityProfileName("EMPTY");
       user.setCertificateProfileName("ENDUSER");
       String pattern = "yyyy-MM-dd HH:mm:ssZZ"; // ISO 8601标准时间格式
       user.setStartTime(DateFormatUtils.format(new Date(),pattern));//证书有效起始日期
       user.setEndTime(DateFormatUtils.format(DateUtils.addDays(new Date(), 100), pattern));//结束日期

       ejbcaWS.editUser(user);


   }
  • 查找终端实体
  • 		/**
		 * 检查用户实体是否存在
		 * @param ejbcaWS
		 * @param username
		 * @return
		 * @throws Exception
		 */
		public static boolean isExist(EjbcaWS ejbcaWS, String username) throws Exception {
	    UserMatch usermatch = new UserMatch();
	    usermatch.setMatchwith(UserMatch.MATCH_WITH_USERNAME);
	    usermatch.setMatchtype(UserMatch.MATCH_TYPE_EQUALS);
	    usermatch.setMatchvalue(username);
	    try 
	    {
	        List<UserDataVOWS> users = ejbcaWS.findUser(usermatch);
	        if (users != null && users.size() > 0) 
	        {
	            return true;
	        } 
	        else 
	        {
	            return false;
	        }
	    } 
	    catch (Exception e) 
	    {
	        throw new Exception("检查用户 " + username + " 是否存在时出错:" + e.getMessage());
	    }
	}

     

  • 吊销并删除终端实体

      
        /**
     *
     * @Title: revokeUser
     * @Description: 吊销证书
     * @param @param ejbcaWS
     * @param @param userName
     * @return void    返回类型
     * @throws
     */
	public static void revokeUser(EjbcaWS ejbcaWS, String userName) throws Exception 
	{
	
	    // Revoke and delete
		ejbcaWS.revokeUser(userName, RevokedCertInfo.REVOCATION_REASON_KEYCOMPROMISE, true);
	
	    UserMatch usermatch = new UserMatch();
	    usermatch.setMatchwith(UserMatch.MATCH_WITH_USERNAME);
	    usermatch.setMatchtype(UserMatch.MATCH_TYPE_EQUALS);
	    usermatch.setMatchvalue(userName);
	    List<UserDataVOWS> userdatas = ejbcaWS.findUser(usermatch);
        if (userdatas != null && userdatas.size() > 0) 
        {
            System.out.println("revoke failed!");
        } 
        else 
        {
        	
        	System.out.println("revoke successfully!");
        }	
	}

     

true表示是否删除用户。

 

  • 获取证书
	public static List<Certificate> findCert(EjbcaWS ejbcaWS, String certName) throws AuthorizationDeniedException_Exception, EjbcaException_Exception
	{
		//第一个入参为实体名还是证书名?, 	End entity
		   List<Certificate> foundcerts = ejbcaWS.findCerts(certName, true);
		   return foundcerts;
	}

获取某个终端实体的所有证书,true表示只查找有效的证书。

	public static List<Certificate> getLastCAChainCert(EjbcaWS ejbcaWS, String caName) throws AuthorizationDeniedException_Exception, EjbcaException_Exception, CADoesntExistsException_Exception
	{
		   //入参为CA名 
		   List<Certificate> foundcerts = ejbcaWS.getLastCAChain(caName);
		   return foundcerts;
	}

根据证书16进制序列号及颁发者DN获取证书。

	public static Certificate getCert(EjbcaWS ejbcaWS, String certSNinHex, String issuerDN) throws AuthorizationDeniedException_Exception, EjbcaException_Exception, CADoesntExistsException_Exception
	{
		//第一个入参为证书序列号,第二个参数为颁发者DN
		Certificate foundcerts = ejbcaWS.getCertificate(certSNinHex, issuerDN);
		return foundcerts;
	}
  • 申请证书

根据已注册终端实体申请包含公私钥及证书的pkcs12文件

/**
	 * 
	* @Title: createCert
	* @Description: 根据用户实体名称密码申请pkcs12证书
	* @param @param ejbcaWS
	* @param @param username
	* @param @param password
	* @param @param path
	* @param @throws Exception    参数
	* @return void    返回类型
	* @throws
	 */
	public static void createCert(EjbcaWS ejbcaWS,String username, String password, String path) throws Exception {
	    FileOutputStream fileOutputStream = null;
	    try {
	        // 创建证书文件
	        KeyStore ksenv = ejbcaWS.pkcs12Req(username, password, null, "2048", AlgorithmConstants.KEYALGORITHM_RSA);
	        java.security.KeyStore ks = KeyStoreHelper.getKeyStore(ksenv.getKeystoreData(), "PKCS12", password);
	        fileOutputStream = new FileOutputStream(path + File.separator + username + ".p12");
	        ks.store(fileOutputStream, password.toCharArray());

	        // 创建密码文件
	        File pwdFile = new File(path + File.separator + username + ".pwd");
	        pwdFile.createNewFile();
	        BufferedWriter out = new BufferedWriter(new FileWriter(pwdFile));
	        out.write(password);
	        out.flush();
	        out.close();
	    } catch (Exception e) {
	        throw new Exception("用户  " + username + " 证书创建失败:" + e.getMessage());
	    } finally {
	        if (fileOutputStream != null) {
	            try {
	                fileOutputStream.close();
	            } catch (IOException e) {
	            }
	        }
	    }
	}

根据CSR请求申请pem格式证书

certificateResponse = ejbcaWS.certificateRequest(userDataVOWS, pkcs10AsBase64, CertificateHelper.CERT_REQ_TYPE_PKCS10, null, CertificateHelper.RESPONSETYPE_CERTIFICATE);

userDataVOWS:用户信息,用户名必填

pkcs10AsBase64: CSR请求

同一个用户可以创建多份证书,与web界面申请证书规则不同。

 

  • 吊销证书
    /**
     * @param  issuerDN 颁发者DN
     * @param  reason 吊销证书的原因
     * @return List<Certificate>  查询到的证书列表
     * @throws
     * @Title: revokeUser
     * @Description: 吊销证书
     */
    public static void revokeCert(final String issuerDN, final String certificateSN, final int reason) throws Exception {
        //第一个入参为证书颁发者DN,第二个参数为证书序列号
        ejbcaWS.revokeCert(issuerDN, certificateSN, reason);

    }

 

  • 获取证书吊销列表
   /**
     * 
    * @Title: getCRL
    * @Description: 获取某个CA的证书吊销列表
    * @param @param ejbcaWS
    * @param @param caName	CA名称
    * @param @param delta	是否为增量
    * @param @return
    * @param @throws CADoesntExistsException_Exception
    * @param @throws EjbcaException_Exception
    * @param @throws CRLException    参数
    * @return int    返回类型
    * @throws
     */
    public static Set<? extends X509CRLEntry> getCRL(EjbcaWS ejbcaWS, final String caName, final boolean delta) throws CADoesntExistsException_Exception, EjbcaException_Exception, CRLException {
        final byte[] crlBytes = ejbcaWS.getLatestCRL(caName, delta);
        if(crlBytes == null)
        {
        	return null;
        }
        final X509CRL crl = CertTools.getCRLfromByteArray(crlBytes);
        final Set crls = crl.getRevokedCertificates();
        final BigInteger crlNumber = CrlExtensions.getCrlNumber(crl);
        System.out.println(crl.getIssuerDN());
        System.out.println(crl.getThisUpdate());
        System.out.println(crl.getNextUpdate());
        System.out.println(crlNumber.intValue());
        X509CRLEntry entry = crl.getRevokedCertificate(new BigInteger("8805361580365352127"));
        if (entry != null) {
            String time = new SimpleDateFormat("yyyyMMddHHmmss").format(entry.getRevocationDate());
            System.out.println(entry.getSerialNumber());
            System.out.println(entry.getRevocationReason());
            System.out.println(entry.getCertificateIssuer());
        }

        
        return crls;
    }

注意CA的CRL列表不能实时更新,有滞后性,一般一天更新一次。

  • 证书验证
  • 验证证书链
 /**
     * 
    * @Title: verifyEffect
    * @Description: 验证证书链
    * @param @param ejbcaWS
    * @param @param foundcerts
    * @param @return    参数
    * @return boolean    返回类型
    * @throws
     */
    public static boolean verifyEffect(EjbcaWS ejbcaWS,List<Certificate> foundcerts){ 
        boolean effectFlag = false;
        try 
        {
        	System.out.println("foundcerts.size:"+foundcerts.size());
        	java.security.cert.Certificate cert = 
        			(java.security.cert.Certificate) CertificateHelper.getCertificate(foundcerts.get(0).getCertificateData());
			System.out.println("client SubjectDN:"+ CertTools.getSubjectDN(cert));
			System.out.println("client IssuerDN:"+ CertTools.getIssuerDN(cert));
			System.out.println("client SerialNumber:"+ CertTools.getSerialNumber(cert));
			for(int i = 1 ;i < foundcerts.size(); i++)
			{
				java.security.cert.Certificate cert2 = 
						(java.security.cert.Certificate)CertificateHelper.getCertificate(foundcerts.get(i).getCertificateData());
				System.out.println("service SubjectDN:"+ CertTools.getSubjectDN(cert2));
				System.out.println("service IssuerDN:"+ CertTools.getIssuerDN(cert2));
				System.out.println("service SerialNumber:"+ CertTools.getSerialNumber(cert2));
				cert.verify(cert2.getPublicKey());
				effectFlag = true;
			}
        }
        catch (Exception e) {
			System.out.println(e.getMessage());
		}
        return effectFlag;
        
    }

 

  • 验证证书有效性
    /**
     * <p>
     * 验证证书是否过期或无效
     * </p>
     * 
     * @param date 日期
     * @param certificate 证书
     * @return
     */
    public static boolean verifyCertificate(Date date,java.security.cert.Certificate certificate) {
        boolean isValid = true;
        try {
            X509Certificate x509Certificate = (X509Certificate)certificate;
            x509Certificate.checkValidity(date);
            System.out.println("cert valid");
        } catch (Exception e) {
        	System.out.println(e.getMessage());
            isValid = false;
        }
        return isValid;
    }

 

  • 验证签名
    
    /**
     * <p>
     * 验证签名
     * </p>
     * 
     * @param data 已加密数据
     * @param sign 数据签名[BASE64]
     * @param certificatePath 证书存储路径
     * @return
     * @throws Exception
     */
    public static boolean verifySign(byte[] data, String sign, java.security.cert.Certificate certificate) 
            throws Exception {
        // 获得证书
        X509Certificate x509Certificate = (X509Certificate) certificate;
        // 获得公钥
        PublicKey publicKey = x509Certificate.getPublicKey();
        // 构建签名
        Signature signature = Signature.getInstance(x509Certificate.getSigAlgName());
        signature.initVerify(publicKey);
        signature.update(data);
//        return signature.verify((sign));
        return true;
    }

 

  1. 遗留问题

1.EJBCA提供了JAVA SDK去调用其Webservice接口,初始化时获取了EJBCA的EjbcaWSService实例,并需要设置证书。如果使用手机客户端直接访问EJBCA的话APP是否能获得该实例,如何配置证书等。EJBCA是否提供了手机APP集成时需要使用的SDK?

2.获取Ejbca实例客户端需要配置超级管理员证书,该证书拥有删除用户,修改用户,注册CA等一系列敏感权限,如果手机直接集成的话会存在危险。目前看可以在管理员界面对该证书的权限进行配置。

3.部署环境时需要修改ejbca-setup.sh脚本中的httpsserver_hostname为部署所在服务器的主机名称,这样在生成EJBCA HTTPS服务端证书时证书Domain Name与服务器域名相同,客户端才可以通过域名正常访问。如果通过IP访问则还需要修改ejbca-setup.sh脚本。

后面我会把操作的代码打包放到资源里面,大家可以下载

 

mengao1234
关注
专栏目录
EJBCA安装教程
04-06
本人从网上,几个文档总结的EJBCA安装教程,如果只看其中的一个教程都会出错,现在我总结了一份!亲自在win7(64位)上测试,完全没问题,如果有问题,欢迎私信!我们共同进步
EJBCA使用之注册用户及创建证书
xanxus46的专栏
06-15 6180
研究ejbca源码快一个月了,从openipmp中的老版ejbca到最新的4.0.15,感觉看别人代码实在太痛苦了,而且之前自己对ejb并不是很熟悉,还必须自己重新学了一点基本的ejb知识。 我最开始是研究openipmp的,里面自带就有ejbca的jar包,所以一开始我看openipmp怎么调用ejbca就行,但是由于openipmp实在太老了,它使用的ejbca是遵守ejb2.1标准的,调用
EJBCA 开源证书颁发机构(CA)软件教程
最新发布
gitblog_00234的博客
08-07 784
EJBCA 开源证书颁发机构(CA)软件教程 ejbca-ceEJBCA® – Open-source public key infrastructure (PKI) and certificate authority (CA) software. 项目地址:https://gitcode.com/gh_mirrors/ej/ejbca-ce 1. 项目介绍 EJBCA 是一个开源的公共密钥基础...
EJBCA 管理员使用手册(记录制证步骤)
pirate
07-18 1002
EJBCA 管理员使用手册 本文只是本人使用ejbca架设CA的过程,其中包括了建子CA,建证书属性模板等。 架设EJBCA中间碰到了很多问题,不过还是都基本解决了! :D 基本上满足制作证书的要求。 参考文章:http://www.zzbaike.com/wiki/EJBCA/%E7%AE%A1%E7%90%86%E5%91...
EJBCA操作说明(一)ejbca web界面操作
mengo的博客
10-07 1133
java代码操作ejbca链接 1、EJBCA介绍 EJBCA是一个全功能的CA系统软件,它基于J2EE技术,并提供了一个强大的、高性能、可升级并基于组件的CAEJBCA兼具灵活性和平台独立性,能够独立使用,也能和任何J2EE应用程序集成。 当前共有两个版本: 企业版:EJBCA Enterprise 6.13.0 开源版:EJBCA Community 6.10.1.2 企业...
EJBCA API说明
06-13
自己看的关于EJBCA API说明,这里只是一部分。后来会慢慢发。
EJBCA操作文档.docx
10-08
EJBCA是一个基于J2EE技术的全功能证书颁发机构...通过了解和熟练掌握EJBCA操作,用户可以构建和管理一个强大且安全的公钥基础设施。对于那些需要处理大量证书请求和管理复杂PKI的企业,EJBCA是一个强大而可靠的工具。
ejbca.rar_CA_EJBCA_ca java_ejbca制_rsa ca
09-14
4. 文档:可能包含详细的用户指南、开发者文档和API参考,帮助用户理解和操作EJBCA系统。 部署和使用EJBCA需要对Java EE、PKI、RSA加密和数字签名有深入的理解。管理员需要配置CA策略,如证书生命周期、吊销列表...
开源ejbca 8.0 版本
07-14
EJBCA是用Java开发的,遵循Maven构建体系,支持跨平台运行。其主要功能包括: 1. **证书签发**:EJBCA能够签发各种类型的数字证书,如服务器证书、客户端证书、设备证书等,用于身份验证、数据加密和完整性保护。 ...
cert-validator:EJBCA Enterprise的外部证书验证器框架
05-16
cert-validator是用于创建您自己的基于Java的证书验证器的框架,该框架可以由EJBCA调用。 有关EJBCA中的外部命令证书验证器的更多信息,请查阅。 它是如何工作的? 验证器从stdin读取PEM格式的证书,从证书中提取...
EJBCA的使用
08-12 3733
六 使用ejbca,由于缺乏对功能的说明,我们只能摸索。1启动:双击:d:/panguodong/Downloads/ejbca_3_0/ejbca/run.cmd 这是会出现一个Dos窗口来启动Jboss,同时也启动了ejbca.最后的时候会出现两个端口:8080, 8443。这时就可以了。登陆管理界面:用本机浏览器敲http://sdu-hci-vr:8080/ejbca/ 点击adminis
EJBCA 管理员使用指南
11-02
基于EJBCA 搭建自己的CA 认证中心之 EJBCA 管理员使用指南
EJBCA创建证书图解
03-24
NULL 博文链接:https://pirateyk.iteye.com/blog/1119026
ejbca实例
07-24
EJBCA的简要的概述
EJBCA+mysql+jboss安装布署
05-03
参照培训手册能够成功的安装EJBCA,自已花了不少时间安装成功后编写的.具有实际可操作性.里面所用到的对应版本软件及配置包等,在相应网站下载.
EJBCA证书平台-管理员及用户使用指南
紫漪的博客
04-23 9525
一、证书术语解释 证书机制是目前被广泛采用的一种安全机制,使用证书机制的前提是建立CA(Certification Authority --认证中心)以及配套的RA(Registration Authority --注册审批机构)系统。 CA (Certificate Authority):是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。作为电子商务交易中受信任的第三方,专门解决...
EJBCA的安装指南
09-04 2342
EJBCA的安装指南   EJBCA是一个开源的、功能强大的CA系统,使用EJBCA搭建CA可以达到事半功倍的效果。但是由于EJBCA代码很复杂,独立完成会比较困难,本人也是自己从头尝试做了一遍,虽然也有不少准备,仍然遇到不少问题。本教程的目的是希望可以帮助到你独立完成EJBCA的安装部署。 总的来说,CA系统安装分为以下几步: 第一步:环境准备:包括编译环境和运行环境。 第步:EJB
EJBCA配置(一)
xanxus46的专栏
05-27 2202
转自:http://yangzb.iteye.com/blog/570727 EJBCA技术概述: EJBEJB(Enterprise JavaBeans)--J2EE核心组件,EJB并不是一个产品。它是Java服务器端服务框架的规范,软件厂商根据它来实现EJB服务器。 EJBCAEJBCA是一个全功能的CA系统软件,它基于J2EE技术,并提供了一个强大的、高性能并基于组件的
EJBCA搭建
CHN_Zgq's Blog
04-11 2173
本次EJBCA搭建使用操作系统为centos 7,shell用户为root
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值