ROOT证书、CA证书和使用CA签发的X.509证书

最新推荐文章于 2024-08-06 21:30:50 发布
最新推荐文章于 2024-08-06 21:30:50 发布
阅读量1.3w 收藏 9
点赞数 2
分类专栏: java 文章标签: java security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/o_nikyo_o/article/details/78504032
版权
本文介绍了ROOT证书、CA证书和X.509证书之间的关系,强调它们通过私钥签发建立的信任链。内容包括使用Bouncy Castle生成和验证证书签名,以及使用Oracle Java的Keystore进行证书管理。通过实例代码展示了证书的生成、加载、签名验证和信任链检查。
摘要由CSDN通过智能技术生成

ROOT证书、CA证书和使用CA签发的X.509证书

简介

日常开发中,我们程序员不怎么会接触证书相关的问题,对信息安全领域相关的内容知之甚少。因为平时主要实现的业务很少要直接面向底层的通信,也就很少关注这证书这样的知识。在一般情况下,我们仅仅只是在使用一些高层的依赖中会引入证书、加密相关的依赖包,比如:

<!-- https://mvnrepository.com/artifact/org.bouncycastle/bcprov-jdk15on -->
<dependency>
    <groupId>org.bouncycastle</groupId>
    <artifactId>bcprov-jdk15on</artifactId>
    <version>1.58</version>
</dependency>

然而, bouncy castle这样广泛使用证书密码项目(Github)并不是广受关注的明星项目,文档也就不怎么完备,甚至有点儿法语焉不详,不够系统完整。而且,这方面的内容包含了很多密码学方面专业名词,文档读起来就更晦涩难懂。可以参与bouncy castle的WIKI。我将大致的列举一下BC在证书方面的使用方法。

概念

ROOT证书、CA证书和使用CA证签发的X.509证书之间的联系,其实就是一个使用私钥签发(issue)的关系。使用ROOT证书的私钥签发CA证书,再使用CA证书签发其他的X.509证书,这样就形成了一条可以信的Path。在被签发的证书中含有使用签发者使用自己私钥加过密的签名(sign)、签名算法(比如Sha256WithHash)以及签名者的一些身份信息,这个我们可以在验证签名的过程中得过启发。

从上面可以看出,我们可以把一个证书主要分为两类:自签名和Ca签名,并且我在上面提到的证书中只有ROOT的是自签名的。

使用Bouncy Castle

生成一个签名证书

ROOT证书是用来签发和验证CA证书的,在整个可信证书链条中处于最上层的地位,它是一个自签名的证书。签名的作用是防止在不知道签名者私钥的情况下恶意篡改证书的内容,这是证书可信保证重要的步骤。如下代码是生成一个签名的证书:

// must add BC Provider before use it in code
Security.addProvider(new BouncyCastleProvider());

// generate EC key pair
ECGenParameterSpec ecGenSpec = new ECGenParameterSpec("prime192v1");
KeyPairGenerator generator = KeyPairGenerator.getInstance("ECDSA", "BC");
generator.initialize(ecGenSpec, new SecureRandom());
KeyPair kp = generator.genKeyPair();

Date startDate = new Date(System.currentTimeMillis() - 24 * 60 * 60 * 1000);
Date endDate = new Date(System.currentTimeMillis() + 365 * 24 * 60 * 60 * 1000);

// create x.509 certificate build
X509v3CertificateBuilder v3CertGen = new JcaX509v3CertificateBuilder(
  new X500Principal("CN=Test"),
  BigInteger.valueOf(System.currentTimeMillis()),
  startDate, endDate,
  new X500Principal("CN=Test"),
  kp.getPublic());

// Content Signer
ContentSigner signer = new JcaContentSignerBuilder("SHA256withECDSA")
  .setProvider("BC").build(kp.getPrivate());

// build x.509 certificate
X509CertificateHolder holder = v3CertGen.build(signer);
X509Certificate cert = new JcaX509CertificateConverter().getCertificate(holder
最低0.47元/天 解锁文章
yinkn
关注
专栏目录
X.509证书的介绍
baron-周贺贺-代码改变世界ctw
10-15 3692
1、X.509简介 X.509是密码学里公钥证书的格式标准。X.509证书已应用在包括TLS/SSL在内的众多网络协议里,同时它也用在很多非在线应用场景里,比如电子签名服务。X.509证书里含有公钥、身份信息(比如网络主机名,组织的名称或个体名称等)和签名信息(可以是证书签发机构CA的签名,也可以是自签名)。 X.509还附带了证书吊销列表和用于从最终对证书进行签名的证书签发机构直到最终可信点为止的证书合法性验证算法。X.509是ITU-T标准化部门基于他们之前的ASN.1定义的一套证书标准。 2、证书组成
JDK 解析 X.509证书和CRL 示例代码
JoShua 的 水库
02-28 1万+
软件包 java.security.cert <br />提供用于解析和管理证书证书撤消列表 (CRL) 和证书路径的类和接口<br /> <br /> <br />以解析X.509证书为例:<br /> <br />import java.security.cert.CRLException; import java.security.cert.CertificateException; import java.security.cert.CertificateFactory;
证书root certificate)是屬於根证书颁发机构(CA)的公钥证书
weixin_40191861的博客
08-11 1649
在密码学和领域,)是屬於根(CA)的,是在中,的起點。证书颁发机构的角色有如现实世界中的公證行,保證網路世界中電子證書持有人的身份。具體作法是透過,利用數位簽章為多個客戶签发多个不同的,形成一个以其根证书為顶层的樹狀結構,在此传递关系中所有下層證書都会因為根证书可被信赖而继承信任基礎。根證書在中作為信任錨的起點角色根證書沒有上層機構再為其本身作數位簽章,所以都是。许多(例如。
CA证书
最新发布
dzzx_my的博客
08-06 782
OpenSSL既是一个项目又是一个软件。作为软件,它是一个功能齐全的工具包,广泛应用于通用加密和安全通信。libcrypto:用于实现加密和解密的库libssl:用于实现ssl通信协议的安全库openssl:多用途命令工具。
java 操作数字证书(x509
weixin_34223655的博客
04-01 142
一:需要包含的包import java.security.*;import java.io.*;import java.util.*;import java.security.*;import java.security.cert.*;import sun.security.x509.*import java.secur...
Java加密技术(八)
ruan2012的专栏
09-22 127
请大家在阅读本篇内容时先阅读 Java加密技术(四),预先了解RSA加密算法。 在构建Java代码实现前,我们需要完成证书的制作。 1.生成keyStroe文件 在命令行下执行以下命令:   keytool -genkey -validity 36000 -alias www.zlex.org -keyalg RSA -keystore d:\zlex.keystore ...
信息安全实验【CA的安装与使用实验】(独立根)
学信安技术 卫国家之门
11-18 6190
文章目录实验目的实验环境实验原理实验内容实验步骤 实验目的 (1)利用Windows server提供的“证书服务”组件为用户颁发证书。 (2)通过用户申请数字证书及服务器端签发证书,加深对PKI理论(重点是CA的功能)的理解。 实验环境 Win 7 ip:192.168.(可以不用设置静态ip) Win server 2008 设置静态ip:192.168. (注意VMnet8网卡网段) 实验原理 实验内容 实验步骤 ...
微信支付rootca.pem通用根证书文件
03-06
总之,微信支付rootca.pem通用根证书文件是保证微信支付安全的关键元素,虽然现在不再默认提供,但其作用和重要性仍然不可忽视。对于开发者和商家来说,及时更新和正确配置根证书是确保支付安全的重要一环。
微信支付rootca.pem证书
12-11
总结来说,微信支付rootca.pem证书是保障商家与微信支付平台间通信安全的关键元素,正确管理和使用证书对维护商家的交易安全至关重要。商家应当重视证书的获取、更新和安全存储,确保支付流程的顺畅和数据的安全。
微信支付rootca.pem通用根证书
10-01
2. 验证证书使用相应的工具(如openssl)对证书进行验证,检查其是否由受信任的CA签发,且未过期。 3. 集成到应用中:将验证过的根证书集成到应用程序或服务器配置中,以便在发起支付请求时进行服务器身份验证。 4...
X.509 certificate
diaoju3333的博客
12-18 352
A digital certificate is a collection of data used to securely distribute the public half of a public/private key pair. Figure 1 shows the parts of a typical X.509 certificate that make this poss...
CA证书_ca 证书 ca 私钥,面试必备
m0_60667406的博客
04-07 1251
外链图片转存中…(img-IFEfLNdO-1712475101757)][外链图片转存中…(img-O3af9Gxl-1712475101757)][外链图片转存中…(img-qBwT6u95-1712475101757)]
哈工大密码学实验(CA证书认证系统)
沈子鸣
01-14 8286
前言 本文是哈工大17级密码学原理与实践课程的实践部分(CA证书认证系统)实验报告,由于本实验代码中包含了数据库部分,每个人的电脑配置环境也不一样,所以,提供的参考代码不会直接运行成功,但给大家提供了写实验的一些思路。本实验报告是最终版,非常详尽。 本文仅供参考。希望各位学弟学妹认真对待实验,在学习时间充足的情况下,借此大大提高自己的编程能力。 待代码资源审核通过后,会将代码的下载地址放在这里。 ...
OpenSSL-证书
Remy的学习记录
07-28 1万+
SSLCA证书可分为两种:Root CA(根CA证书)和Intermediate CA(中间CA证书)。其中Root CA是信任锚点,一条证书链中只能有一个。Intermediate CA可以有多个。Root CA通常不直接签发用户证书,而是签发Intermediate CA,由Intermediate CA签发终用户书。它们之间的关系如下图所示:     证书链就是Root CA
安卓root后将自有证书修改为系统信任证书
刘登辉的博客
04-29 6507
安装完成的证书文件通常保存在 Android 设备的“用户证书”存储区域中。这些证书文件的存储路径通常是:/data/misc/user/0/cacerts-added/,其中的“0”代表的是当前用户的 ID。安卓系统的证书存储在/system/etc/security/cacerts目录下,这些证书可以被系统使用和信任。在 Android 设备上,用户安装的证书文件通常存储在设备的存储器中,具体路径可能因设备型号和 Android 系统版本而异。修改证书文件的权限为644,即可读取、可写入,但不可执行。
java coap_CoAP协议-以Californium(Java)为例的CoAP初步实现
weixin_34688966的博客
02-16 2330
今天,我的导师又放我鸽子了。。看到他确实很忙。也有可能这个项目搁置或者废弃了吧,但我自己也要继续下去。于是,写下这第二篇文章。简要的回顾一下CoAP协议,全名ConstrainedApplicationProtocol,也就是说这是一个应用在受限制的设备上的,例如网络不佳,运算能力低下,存储能力低下的设备。相对于MQTT和XMPP协议,这是一个年轻的,国内外应用极少的物联网协议,有前景,但需考量适...
联盟链系列 - RootCA颁发证书
搬砖魁首的博客
12-26 1937
介绍X509证书使用的密钥算法, 并使用openssl生成
通过OpenSSL解析X509证书基本项
热门推荐
密码开发者
07-08 6万+
通过OpenSSL库解析X509证书基本项,比如版本号、序列号、颁发者、使用者、有效期、公钥算法、证书用途等。
使用OpenSSL与GMSSL生成RSA和SM2证书的步骤指南
接下来,使用`openssl x509`命令签署证书请求,设置有效期、算法和扩展项,生成根证书`root.crt`。同样的步骤可以用于生成服务器和客户端的证书。 对于SM2证书,GMSSL提供了与RSA类似但针对SM2算法的命令,如`gmssl...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值