Java代码实现生成证书吊销列表CRL

于 2024-11-28 09:18:04 发布
阅读量742 收藏 14
点赞数 19
文章标签: java Java实现CRL CRL 证书吊销列表CRL BC库实现生成根证书和用户证书 校验证书有效性 crl校验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23388169/article/details/144091541
版权

1. 前言

        本篇博客是工作经验总结,如果您发现此篇博客有疏漏或有待改进之处,欢迎评论区交流。

2. CRL简介

        CRL (Certificate Revocation List)  证书吊销列表。是CA机构维护的一个已经被吊销的证书序列号列表,浏览器需要定时更新这个列表,浏览器在验证证书合法性的时候也会在证书吊销列表中查询此证书是否已经被吊销,如果被吊销了那这个证书也是不可信的。可以看出,这个列表随着被吊销证书的增加而增加,列表会越来越大,浏览器还需要定时更新,实时性也比较差。所以就有了OSCP。

        OSCP (Online Certificate Status Protocol) 在线证书状态协议。这个协议就是解决了 CRL 列表越来越大和实时性差的问题而生的。有了这个协议,浏览器就可以不用定期更新CRL了,在验证证书的时候直接去CA服务器实时校验一下证书有没有被吊销就可以,是解决了CRL的问题,但是每次都要去CA服务器上校验也会很慢,在网络环境较差的时候或者跨国访问的时候,体验就非常差了,OCSP虽然解决了CRL的问题但是性能却很差。

3. 代码实现

3.1. 代码功能介绍

1. 生成RSA密钥对(当成是CA密钥对);

2. 根据1中的CA密钥对,自签一个CA根证书;

3. 生成另一对RSA密钥对(当成是用户密钥对);

4. 通过CA私钥和CA公钥证书签发一个用户公钥证书;

5. 通过CA私钥和CA公钥证书生成一个CRL文件;

6. 把第4步中的用户公钥证书添加到吊销列表CRL文件中;

7. 解析CRL文件,遍历CRL文件里面被吊销的证书列表;

8. 判断用户证书是否被吊销。

3.2. 需要引入的包

<dependency>
    <groupId>org.bouncycastle</groupId>
    <artifactId>bcpkix-jdk15on</artifactId>
    <version>1.70</version>
</dependency>

3.3. 代码实现

        代码的功能和 3.2 中是对应的,这里就不过多解释代码逻辑了。

package com.example.cert.cert;

import org.bouncycastle.asn1.x500.X500Name;
import org.bouncycastle.asn1.x509.CRLReason;
import org.bouncycastle.cert.X509CRLHolder;
import org.bouncycastle.cert.X509v2CRLBuilder;
import org.bouncycastle.cert.X509v3CertificateBuilder;
import org.bouncycastle.cert.jcajce.JcaX509CRLConverter;
import org.bouncycastle.cert.jcajce.JcaX509CertificateConverter;
import org.bouncycastle.cert.jcajce.JcaX509v3CertificateBuilder;
import org.bouncycastle.jce.provider.BouncyCastleProvider;
import org.bouncycastle.openssl.jcajce.JcaPEMWriter;
import org.bouncycastle.operator.ContentSigner;
import org.bouncycastle.operator.jcajce.JcaContentSignerBuilder;

import java.io.FileInputStream;
import java.io.FileWriter;
import java.io.IOException;
import java.math.BigInteger;
import java.security.KeyPair;
import java.security.KeyPairGenerator;
import java.security.NoSuchAlgorithmException;
import java.security.PrivateKey;
import java.security.PublicKey;
import java.security.Security;
import java.security.cert.CRLException;
import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;
import java.security.cert.X509CRL;
import java.security.cert.X509CRLEntry;
import java.security.cert.X509Certificate;
import java.util.Date;
import java.util.Objects;
import java.util.Set;

/**
 * <p> 1. 生成RSA密钥对(当成是CA密钥对);
 *
 * <p> 2. 根据1中的CA密钥对,自签一个CA根证书;
 *
 * <p> 3. 生成另一对RSA密钥对(当成是用户密钥对);
 *
 * <p> 4. 通过CA私钥和CA公钥证书签发一个用户公钥证书;
 *
 * <p> 5. 通过CA私钥和CA公钥证书生成一个CRL文件;
 *
 * <p> 6. 把第4步中的用户公钥证书添加到吊销列表CRL文件中;
 *
 * <p> 7. 解析CRL文件,遍历CRL文件里面被吊销的证书列表;
 *
 * <p> 8. 判断用户证书是否被吊销。
 * 
 * <p> todo:
 * <p> 签发证书时添加一些扩展项
 * <p> 给CRL文件里面添加要被撤销的证书时,如果这个证书不是通过根证书签发的,可以添加进去吗
 */
public class CertAndCrl {

    static {
        Security.addProvider(new BouncyCastleProvider());
    }

    public static void main(String[] args) throws Exception {

        // 1. 生成CA密钥对
        KeyPair caKeyPair = generateRSAKeyPair();
        saveToPemFile("ca_private_key.pem", caKeyPair.getPrivate());
        saveToPemFile("ca_public_key.pem", caKeyPair.getPublic());

        // 2. 自签CA根证书
        X509Certificate caCertificate = generateSelfSignedCertificate(caKeyPair, "CN=CA");
        saveToPemFile("ca_certificate.pem", caCertificate);

        // 3. 生成用户密钥对
        KeyPair userKeyPair = generateRSAKeyPair();
        saveToPemFile("user_private_key.pem", userKeyPair.getPrivate());
        saveToPemFile("user_public_key.pem", userKeyPair.getPublic());

        // 4. 签发用户证书
        X509Certificate userCertificate = signUserCertificate(caKeyPair.getPrivate(), caCertificate, userKeyPair.getPublic(), "CN=User");
        saveToPemFile("user_certificate.pem", userCertificate);

        // 5. 生成CRL文件
        X509CRL crl = generateCRL(caCertificate, caKeyPair.getPrivate());
        saveToPemFile("crl.pem", crl);

        // 6. 将用户证书添加到CRL列表中
        crl = revokeCertificate(crl, caKeyPair.getPrivate(), userCertificate);
        saveToPemFile("updated_crl.pem", crl);

        // 7. 解析CRL文件
        parseCrl("updated_crl.pem");
        
        // 8. 判断用户证书是否被吊销
        boolean isRevoked = isCertificateRevoked("user_certificate.pem", "updated_crl.pem");
        if (isRevoked) {
            System.out.println("用户证书已被吊销!");
        } else {
            System.out.println("用户证书未被吊销!");
        }
    }

    public static void parseCrl(String crlPath) throws IOException, CertificateException, CRLException {
        FileInputStream fileInputStream = new FileInputStream(crlPath);
        CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
        X509CRL crl = (X509CRL) certificateFactory.generateCRL(fileInputStream);
        Set<? extends X509CRLEntry> revokedCertificates = crl.getRevokedCertificates();
        String issuerDN = crl.getIssuerDN().toString();
        System.out.println("CRL文件的签发者: " + issuerDN);
        if (!Objects.isNull(revokedCertificates)) {
            for (X509CRLEntry x509CRLEntry : revokedCertificates) {
                BigInteger serialNumber = x509CRLEntry.getSerialNumber();
                Date revocationDate = x509CRLEntry.getRevocationDate();
                java.security.cert.CRLReason revocationReason = x509CRLEntry.getRevocationReason();    // 证书吊销原因

                System.out.println("serialNumber: " + serialNumber.toString(16));
                System.out.println("revocationDate: " + revocationDate);
                System.out.println("revocationReason: " + revocationReason);
                System.out.println("============");
            }
        }
        fileInputStream.close();
    }

    /**
     * 判断给定的证书是否被吊销
     *
     * @param certPath 证书文件路径(PEM 格式)
     * @param crlPath  CRL 文件路径(PEM 格式)
     * @return true 如果证书已被吊销,否则 false
     * @throws Exception 读取或解析失败
     */
    private static boolean isCertificateRevoked(String certPath, String crlPath) throws Exception {
        // 加载证书
        X509Certificate certificate = loadCertificate(certPath);

        // 加载CRL
        X509CRL crl = loadCRL(crlPath);

        // 获取吊销列表
        Set<?> revokedCertificates = crl.getRevokedCertificates();

        if (revokedCertificates == null) {
            // 如果 CRL 中没有任何吊销记录,则返回 false
            return false;
        }

        // 检查证书是否在吊销列表中
        return revokedCertificates.stream()
                .anyMatch(entry -> ((X509CRLEntry) entry).getSerialNumber().equals(certificate.getSerialNumber()));
    }

    /**
     * 加载X509证书
     *
     * @param certPath 证书文件路径(PEM 格式)
     * @return X509Certificate 对象
     * @throws Exception 文件读取或解析失败
     */
    private static X509Certificate loadCertificate(String certPath) throws Exception {
        try (FileInputStream fis = new FileInputStream(certPath)) {
            CertificateFactory factory = CertificateFactory.getInstance("X.509");
            return (X509Certificate) factory.generateCertificate(fis);
        }
    }

    /**
     * 加载CRL文件
     *
     * @param crlPath CRL 文件路径(PEM 格式)
     * @return X509CRL 对象
     * @throws Exception 文件读取或解析失败
     */
    private static X509CRL loadCRL(String crlPath) throws Exception {
        try (FileInputStream fis = new FileInputStream(crlPath)) {
            CertificateFactory factory = CertificateFactory.getInstance("X.509");
            return (X509CRL) factory.generateCRL(fis);
        }
    }

    private static X509CRL revokeCertificate(X509CRL crl, PrivateKey caPrivateKey, X509Certificate revokedCertificate) throws Exception {
        X509CRLHolder crlHolder = new X509CRLHolder(crl.getEncoded());
        X509v2CRLBuilder builder = new X509v2CRLBuilder(crlHolder);

        builder.addCRLEntry(revokedCertificate.getSerialNumber(), new Date(), CRLReason.privilegeWithdrawn);

        ContentSigner signer = new JcaContentSignerBuilder("SHA256withRSA").setProvider("BC").build(caPrivateKey);
        return new JcaX509CRLConverter().setProvider("BC").getCRL(builder.build(signer));
    }

    private static X509CRL generateCRL(X509Certificate caCertificate, PrivateKey caPrivateKey) throws Exception {
        X500Name issuer = new X500Name(caCertificate.getSubjectX500Principal().getName());
        Date thisUpdate = new Date();
        Date nextUpdate = new Date(thisUpdate.getTime() + 7 * 24 * 60 * 60 * 1000L);

        ContentSigner signer = new JcaContentSignerBuilder("SHA256withRSA").setProvider("BC").build(caPrivateKey);
        X509v2CRLBuilder builder = new X509v2CRLBuilder(issuer, thisUpdate);
        builder.setNextUpdate(nextUpdate);
        return new JcaX509CRLConverter().setProvider("BC").getCRL(builder.build(signer));
    }

    private static X509Certificate signUserCertificate(PrivateKey caPrivateKey, X509Certificate caCertificate, PublicKey userPublicKey, String userDN) throws Exception {
        X500Name issuer = new X500Name(caCertificate.getSubjectDN().getName());
        X500Name subject = new X500Name(userDN);
        BigInteger serialNumber = BigInteger.valueOf(System.currentTimeMillis());
        Date notBefore = new Date();
        Date notAfter = new Date(notBefore.getTime() + 365 * 24 * 60 * 60 * 1000L);

        ContentSigner signer = new JcaContentSignerBuilder("SHA256withRSA").setProvider("BC").build(caPrivateKey);
        JcaX509v3CertificateBuilder builder = new JcaX509v3CertificateBuilder(issuer, serialNumber, notBefore, notAfter, subject, userPublicKey);

        return new JcaX509CertificateConverter().setProvider("BC").getCertificate(builder.build(signer));

    }

    private static X509Certificate generateSelfSignedCertificate(KeyPair keyPair, String subjectDN) throws Exception {
        X500Name subject = new X500Name(subjectDN);
        BigInteger serialNumber = BigInteger.valueOf(System.currentTimeMillis());
        Date notBefore = new Date();
        Date notAfter = new Date(notBefore.getTime() + 365 * 24 * 60 * 60 * 1000L);

        ContentSigner signer = new JcaContentSignerBuilder("SHA256withRSA").setProvider("BC").build(keyPair.getPrivate());
        X509v3CertificateBuilder builder = new JcaX509v3CertificateBuilder(subject, serialNumber, notBefore, notAfter, subject, keyPair.getPublic());

        return new JcaX509CertificateConverter().setProvider("BC").getCertificate(builder.build(signer));
    }

    private static void saveToPemFile(String filePath, Object obj) throws IOException {
        try (JcaPEMWriter jcaPEMWriter = new JcaPEMWriter(new FileWriter(filePath))) {
            jcaPEMWriter.writeObject(obj);
            jcaPEMWriter.flush();
        }
    }

    private static KeyPair generateRSAKeyPair() throws NoSuchAlgorithmException {
        KeyPairGenerator keyGen = KeyPairGenerator.getInstance("RSA");
        keyGen.initialize(2048);
        return keyGen.generateKeyPair();
    }
}

3.4 测试结果

4. 如果此篇博客对你有帮助或启发,感谢点个赞~

太自由
关注
java 解析证书吊销列表 crl
qq_44704799的博客
10-08 1156
java 解析证书吊销列表 crlCertificateFactory;CertificateFactory.generateCRL
证书吊销列表CRL解析工具(Java
09-04
证书吊销列表CRL解析工具(Java
java生成crl_java 代码实现 签发(制作)CRL证书吊销列表)文件,
weixin_32460203的博客
02-25 881
匿名用户1级2012-06-16 回答java 解析 CRL 文件(java 解析 证书吊销列表)2010-04-06 10:25import java.io.FileInputStream;import java.io.FileNotFoundException;import java.security.cert.CRLException;import java.security.cert.Ce...
openssl CRL证书
艾小小雨的博客
03-12 1773
CRL(Certificate Revocation List),证书撤销列表,是在证书撤销时用的.证书因为一些原因会被CA吊销证书。客户端拿到这个CRL后,就可以知道那些证书已经无效了。不过,CRL的发布是有一定的周期的,所以通过CRL的方法,客户端不能实时地检测某个证书是否有效。为了弥补CRL这个不足,现在一般都用OCSP(Online Certificate Status Pr...
java 生成crl吊销列表,通过编程安装证书吊销列表CRL
weixin_39662228的博客
02-24 243
I need to download and install about 50 CRLs once a week and install them on several Windows servers. Downloading is the easy part, is there a way I could script the CRL import process?解决方案I don't kno...
java生成crl_24.9.5 使用过时 CRL
weixin_39679370的博客
02-25 262
24.9.5 使用过时 CRL当 S/MIME applet 向 Messaging Server 发送检查证书的请求后,Messaging Server 将根据 CRL 检查证书。Messaging Server 并不是在每次检查证书时都将 CRL 下载到内存中,而是将 CRL 的副本下载到磁盘中并使用该副本进行证书检查。每个 CRL 都有一个下次更新字段,该字段指定在哪个日期后应该使用更新的 ...
Java实现证书吊销列表CRL解析工具详解
### 知识点一:证书吊销列表CRL)概念 证书吊销列表Certificate Revocation List,CRL)是一种由证书颁发机构(Certificate Authority,CA)发布的、用于指示哪些数字证书已经被吊销列表。在公钥基础设施...
Java BouncyCastle API 创建证书撤销列表 CRL 验证证书有效性
albon arith
04-12 3313
创建 CRL 需要用到有 CRL 权限的 CA 机构私钥证书: Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider()); // 准备好创建 CRL 所需的私钥证书 PrivateKey caPrivateKey = ...... X509Ce...
java crl_java解析CRL文件 | 学步园
weixin_39987138的博客
02-12 237
package com.koal.xia.test;import java.io.FileInputStream;import java.io.FileNotFoundException;import java.security.cert.CRLException;import java.security.cert.CertificateException;import java.security...
证书CRL详解
05-01
详细介绍了证书CRL的各扩展释义,有助于加深对证书的了解
证书吊销列表(CRL)简单介绍与相关openssl C api功能测试
TappaT的博客
05-13 3123
在近期的工作项目中涉及到了证书吊销列表(CRL)相关的一些知识,打算记录一下自己写的一个通过CRL验证自签名证书有效性的测试程序,并分享遇到的一些坑。
数字证书的相关专业名词(中)---根证书CRL,以及javaCRL的获取验证方法
qq_44005305的博客
03-12 1610
上篇文章我们主要了解了PKI中的数字证书PKCS,这篇文章我们主要了解一下根证书,以及OCSPCRL。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题(主流经典的应该都有了)
证书吊销列表(CRL)介绍
weixin_34066347的博客
04-25 616
一、证书吊销列表(CRL) 证书吊销列表 (Certificate Revocation List ,简称: CRL) 是 PKI 系统中的一个结构化数据文件,该文件包含了证书颁发机构 (CA) 已经吊销证书的序列号及其吊销日期。 CRL 文件中还包含证书颁发机构信息、吊销列表失效时间下一次更新时间,以及采用的签名算法等。证书吊销列表最短的有效期为一个小时,一般为 1 天,甚至一个月不等,由...
学习笔记:OpenHarmony / security_certificate_framework中“证书CRL证书链”
最新发布
qq_350984705的博客
04-25 1192
security_certificate_framework的gitee仓 : https://gitee.com/openharmony/security_certificate_framework对象/类方法或属性(包括返回值、方法名、参数列表)功能特性公共方法function cryptoCert.createCertCRLCollection(certs:Array<X509Cert>,crls?: Array<X509CRL>): CertCRLCollection创建CertCRLCollect
java证书已撤销_如何检查X509证书是否已被Java吊销
weixin_36258720的博客
02-16 1219
小编典典每个CA都会发布已撤销的证书列表。此列表包括证书的序列号吊销日期要获取证书吊销列表(CRL)的URL,请执行以下步骤打开证书转到“详细信息”选项卡,然后在详细信息列表中找到“ CRL分发点”字段它将向您显示诸如此类的价值[1] CRL分发点分发点名称:全名:URL = mscrl.microsoft.com / pki / mscorp / crl /msitwww2.crl URL =...
openssl证书撤销列表(Certificate Revocation List,简称CRL)详解
N阶二进制的博客
12-11 3670
证书撤销列表(Certificate Revocation List,简称CRL),是一种包含撤销的证书列表的签名数据结构。CRL证书撤销状态的公布形式,CRL就像信用卡的黑名单,用于公布某些数字证书不再有效。CRL是一种离线的证书状态信息。它以一定的周期进行更新。CRL可以分为完全CRL增量CRL。在完全CRL中包含了所有的被撤销证书信息,增量CRL由一系列的CRL来表明被撤销的证书信息,它每次发布的CRL是对前面发布CRL的增量扩充。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值