java校验证书链

最新推荐文章于 2024-04-07 00:35:01 发布
最新推荐文章于 2024-04-07 00:35:01 发布
阅读量748 收藏 1
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32075117/article/details/130290265
版权

/**
* @param certInfo 证书链.P7B文件的文本内容
* @param rootCA 用户信任的顶级根证书PEM文件文本内容,头尾不能少
* @param subjectName 当前证书的使用者

 * @return Boolean
 * @throws Exception
 */
public static boolean verifyCerChains(String certInfo, String rootCA, String subjectName) throws Exception {

    //用户信任的顶级根证书
    X509Certificate X509certificateRoot = getRootCA(rootCA);

    Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());
    CMSSignedData sd = new CMSSignedData(Base64.decodeBase64(certInfo));
    Store<X509CertificateHolder> store = sd.getCertificates();

    Collection<X509CertificateHolder> certChains = store.getMatches(null);

    //获取证书链长度
    int nSize = certChains.size();
    //将证书链转化为数组
    X509Certificate[] arX509certificate = new X509Certificate[certChains.size()];
    int j = 0;
    for (X509CertificateHolder holder : certChains) {
        arX509certificate[j++] = new JcaX509CertificateConverter().setProvider("BC").getCertificate(holder);
    }

    //声明list,存储证书链中证书主体信息
    ArrayList list = new ArrayList();
    //沿证书链自上而下,验证证书的所有者是下一个证书的颁布者
    Principal principalLast = null;
    //遍历arX509certificate
    for (int i = 0; i < nSize; i++) {

        X509Certificate x509Certificate = arX509certificate[i];
        //获取发布者标识
        Principal principalIssuer = x509Certificate.getIssuerDN();
        //获取证书的主体标识
        Principal principalSubject = x509Certificate.getSubjectDN();
        //保存证书的序列号
        list.add(x509Certificate.getSerialNumber());
        //使用者
        String certchainsUsers = String.valueOf(x509Certificate.getSubjectDN().getName());
        System.out.println(certchainsUsers);
        if (principalLast != null) {
            //验证证书的颁布者是上一个证书的所有者
            if (principalIssuer.equals(principalLast)) {
                try {
                    //获取上个证书的公钥
                    PublicKey publickey = arX509certificate[i - 1].getPublicKey();
                    //验证是否已使用与指定公钥相应的私钥签署了此证书
                    arX509certificate[i].verify(publickey);
                } catch (Exception e) {
                    return false;
                }
            } else {
                return false;
            }
        }
        principalLast = principalSubject;

    }

    //证明证书链中的第一个证书由用户所信任的CA颁布
    try {
        PublicKey publickey = X509certificateRoot.getPublicKey();
        arX509certificate[0].verify(publickey);
    } catch (Exception e) {
        return false;
    }
    //证明证书链中的最后一个证书的所有者正是现在通信对象
    Principal principalSubject = arX509certificate[nSize - 1].getSubjectDN();
    if (!subjectName.equals(principalSubject.getName())) {
        return false;
    }

    //验证证书链里每个证书是否在有效期里
    Date date = new Date();
    for (int i = 0; i < nSize; i++) {
        try {
            arX509certificate[i].checkValidity(date);
        } catch (Exception e) {
            return false;
        }
    }
    return true;
}
脱僵的的野码
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java如何跳过https的ssl证书验证详解
08-25
2、可以忽略服务器证书校验(将hostname校验和CA证书校验同时关闭)。网上最常用的,就是利用jdk生成keyStore文件,该方法忽略服务器证书校验的方法。 四、JSSE缺省的证书信任管理器类 在针对http进行升级时,在...
Java数字证书的一些实例
Cedar's Columnists
01-22 1395
一:需要包含的包import java.security.*;import java.io.*;import java.util.*;import java.security.*;import java.security.cert.*;import sun.security.x509.*import java.security.cert.Certificate;import java.securi
Java获取完整SSL证书信息(包含完整证书)
热门推荐
张三博客
09-16 2万+
Java通过X509获取完整证书信息包含受信任的和不受信任证书,包含完整的证书使用者、签发者、签名算法公钥、证书版本、证书品牌等信息
数字证书的相关专业名词(下)---OCSP及其java中的应用,网络安全工作资料
最新发布
2201_75604341的博客
04-07 971
其实我一开始看的时候会觉得中间两步是不是有点多余,我明明可以直接aIn.readObject()得到ASN1Primitive,为什么还要多转成一次ASN1OctetString呢。我们实践一下通过上面忽略两步操作后,发现报了类型转化的异常,这个原因又是为什么呢首先是我们获取的证书中的扩展信息,根据 X.509 标准,CRL 分发点扩展是由一个 OCTET STRING 构成的,其中包含了一个 ASN.1 序列。。
Java OpenSsl 证书
十年梦归尘的专栏
07-20 2555
OpenSsl X.509证书,秘钥生成相关方法(KeyPaif),公钥加密(SM2),私钥解密,私钥对信息签名,公钥验证签名,X.509证书的读取、生成、查看、验证,DN信息,CSR文件的生成、读取,KeyStore相关操作等。subjectAlternativeName证书扩展。
IP SSL证书和域名SSL证书的区别
09-17 1213
顾名思义,IP SSL证书就是专为只有IP的网站设立的SSL数字证书,而域名SSL证书是专为有域名的网站服务的SSL数字证书。这两种证书虽然说有很多功能比如保护网站信息传输安全、提升SEO排名等都是一样的,但是细究起来还是有很多不一样。 1.服务对象不同。IP SSL证书主要是针对那些只有公网IP地址的企事业单位的一款SSL数字证书,而域名SSL证书主要是针对一些拥有自己域名的各种网站的数字证书,后者的服务对象更广一些。 2.品牌和类型不同。从品牌上比,现在也就只有Sectigo和Digicert这
Java 生成X.509 V3证书
Cloud-Future的博客
10-24 5530
Java 生成 X509 V3证书 使用Java 语言生成 X.509 V3证书 pem格式证书生成 使用Java 语言生成 X.509 V3 pem格式证书
java x509certificate javax_使用Java生成带有BouncyCastle的X509Certificate
weixin_40005887的博客
03-02 468
这就是我现在生成的数字证书.现在我能够生成一个密码保护私钥的数字证书.public static void main(String[] args) throws Exception {Security.addProvider(new BouncyCastleProvider());testKeyStore();}public static void testKeyStore() throws Ex...
httpclient 绕开HTTPS证书校验
07-05
在默认情况下,`httpclient`会使用系统提供的`TrustManager`,这会严格检查服务器证书是否可信任。但是,我们可以通过创建一个信任所有证书的`TrustManager`实例,然后将其设置到`SSLContext`中,从而跳过证书验证...
p7b证书验证工具-结合SM2证书验证工具用于验证SM2 p7b证书的真实性
12-11
p7b证书验证工具-结合SM2证书验证工具用于验证SM2 p7b证书的真实性 0.306版本:解决了Win10系统下程序与证书不同盘会闪退的问题 程序属性:需要安装OpenssL64环境 0.309:可验证二进制p7b、PEM格式p7b、...
https证书校验方法
12-09
1. **自定义TrustManager**:默认情况下,OkHttp使用Java的`TrustManager`实现来验证服务器的证书。如果服务器的证书不是由系统信任的CA签发,或者证书不完整,校验会失败。开发者可以创建自己的`TrustManager`...
Android-validate-SSL-certificate-example:android 如何安全的去校验ssl证书
05-08
客户端需要检查该证书是否由已知的、可信赖的CA签发,证书是否完整,以及证书的有效期等信息。如果验证失败,客户端应拒绝建立连接。 在Java编程语言中,我们可以利用`java.security.cert`和`javax.net.ssl`这两...
Java解析P7B证书
shg的博客
10-23 408
我是用BC库解析sm2算法的p7b证书
java证书验证_java客户端验证https连接(忽略证书验证证书验证两种方式)
weixin_34352633的博客
02-12 1608
首先根据如下操作生成证书,配置springboot https,生成一个简单的https web服务验证客户端pom依赖org.springframework.bootspring-boot-starter-weborg.apache.httpcomponentshttpclient4.5.10org.apache.httpcomponentshttpcore4.4.12httpclient和ht...
Java 生成数字证书系列(三)生成数字证书
zymx(u010820135)的专栏
06-22 1373
转自  http://blog.csdn.net/happylee6688/article/details/42266465 序 前两篇把基本的概念和构成都大致的说了一下,今天这篇文章,主要是讲一下,如何使用 Java 代码生成 CA 证书,以及在生成证书的时候,需要设置的一些属性。 正文 废话不多说,直接上内容。 这里使用的是 Jav
java x509keypair_java – 使用带有证书路径(cert chain)的bouncycastle创建x.509证书
weixin_36085895的博客
02-24 343
Hy Guys!我正在尝试使用bouncycastle创建x.509证书,该证书应该由另一个证书签名并存储为PEM base 64格式.我已经拥有自签名证书(公钥和私钥).现在我想创建一个新的,并使用现有的自签名证书签名.KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA","BC");keyPairGener...
java证书验证,Java中的SSL证书验证
weixin_29268331的博客
02-17 651
Say I have two Java apps that I wrote: Ping.jar and Pong.jar and they get deployed and ran on two separate servers (Ping.jar deploys to srv-01.myorg.com and Pong.jar deploys to srv-02.myorg.com), and ...
【设计模式】责任的基本概念及使用Predicate灵活构造校验
积木成林,聚沙成塔
08-08 823
在最近的开发中遇到了这么一个需求,需要对业务流程中的各个参数做前置校验校验通过才能执行后续的流程。经过一番需求分析后发现,有大量的业务入口需要做的校验是相同的,同时在业务迭代的过程中涉及到的校验规则也会有所增减。所以就必须考虑到代码的复用性和拓展性,决定使用责任模式来剥离变化。本篇先简单的讲解了责任模式的概念,通过一个简单的注册用户需求代入了责任的实现方式,并提出了用责任是实现校验时灵活的地方。然后针对这种不灵活,通过Java8中的Predicate。
Java SSL/TLS证书认证逻辑
fenglllle的博客
10-21 1767
实际上证书的认证就是式认证,加入根证书,因为根证书信任的,CA机构是认可的,那么CA颁发的根证书信任的,经常报道的Chrome移除xxx机构颁发的根证书,表示这些证书下的证书信任了,毕竟公钥和私钥任何证书都能生成,证书也可以仿造。
java 实现根据证书校验公钥证书是否合法
05-27
Java 中,可以使用 Java Cryptography Architecture (JCA) 提供的 X.509 证书库来实现根据证书校验公钥证书是否合法。以下是一个简单的示例代码: ```java import java.io.FileInputStream; import java.security.cert.CertPath; import java.security.cert.CertPathValidator; import java.security.cert.CertPathValidatorException; import java.security.cert.CertPathValidatorResult; import java.security.cert.CertPathValidatorSpi; import java.security.cert.CertificateFactory; import java.security.cert.PKIXParameters; import java.security.cert.X509Certificate; import java.util.Arrays; public class CertificateValidator { public static boolean validate(X509Certificate cert, X509Certificate[] chain) throws Exception { // 创建证书工厂并加载证书 CertificateFactory cf = CertificateFactory.getInstance("X.509"); CertPath certPath = cf.generateCertPath(Arrays.asList(chain)); // 创建 PKIX 参数,并禁用 CRL 检查 PKIXParameters params = new PKIXParameters(cert.getPublicKey()); params.setRevocationEnabled(false); // 创建证书路径验证器并验证证书 CertPathValidator cpv = CertPathValidator.getInstance("PKIX"); CertPathValidatorResult cpvr = cpv.validate(certPath, params); return cpvr != null; } public static void main(String[] args) throws Exception { // 加载根证书和待验证证书 X509Certificate rootCert = (X509Certificate) CertificateFactory.getInstance("X.509").generateCertificate(new FileInputStream("root.cer")); X509Certificate cert = (X509Certificate) CertificateFactory.getInstance("X.509").generateCertificate(new FileInputStream("cert.cer")); // 构建证书 X509Certificate[] chain = new X509Certificate[] {cert, rootCert}; // 验证证书 boolean isValid = validate(cert, chain); System.out.println("Certificate is " + (isValid ? "valid" : "invalid")); } } ``` 在上述代码中,`validate` 方法接收待验证的公钥证书证书作为参数,使用 PKIX 参数创建证书路径验证器,并调用 `validate` 方法验证证书。在 `main` 方法中,我们加载根证书和待验证证书,构建证书,然后调用 `validate` 方法进行证书验证。最终输出证书是否合法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值