支持基于X509 V3客户端证书(IdP的认证手段)的Information Card

最新推荐文章于 2020-02-24 15:15:09 发布
最新推荐文章于 2020-02-24 15:15:09 发布
阅读量206 收藏
点赞数
分类专栏: Higgins 文章标签: SOAP Eclipse Google SVN C#
[b]声明[/b]: 本文所有code除摘自网络的已注明出处外,都是本人在个人时间进行练习的代码,系本人个人书写,没有copy自任何出处, 也与IBM, Eclipse, 以及任何其他组织无关,本人也不对其主张任何权利.

其实很简单,这种卡里包含了一张客户端证书的thumb-print,需要根据这个指纹从证书库里搜索到对应的证书和私钥. 下面这张图:
[img]http://lao-lee.iteye.com/upload/picture/pic/12619/2a41b82e-3f39-336f-932f-4b36897cc7e8.png[/img]
是一张卡的文本内容,可以看到证书信息.[注:所谓thumb-print是微软创造的一个名字,实际上就是把一张X509证书导出为DER编码文件之后做一个SHA摘要.]

首先是怎样获得这样的一张卡,可以从微软公布的测试站点得到:
[url]https://ipsts.federatedidentity.net/MgmtConsole/TestAccount.aspx?cardtype=x509Card[/url]

从上面这个网站可以得到一个测试用的客户端证书,是一个PFX格式的文件. Google一下,我找到了怎样从PFX文件中得到有用的东西并导入Java世界中:
[url]http://dev2dev.bea.com.cn/techdoc/20061103894.html[/url]

这篇文章提供了一个方法,通过openSSL提供的工具把PFX文件转成PEM文件,再从PEM文件里把私钥和公钥用不同的命令导入到JKS文件中,这样就可以在Java程序中使用了.

于是又开始google可以在Windows上安装的openSSL.人类没有了Google可怎么办?!!
[url]http://www.slproweb.com/products/Win32OpenSSL.html[/url]

使用这个命令:
openssl pkcs12 -in MYCERTS.pfx -out MYCERTS.pem -nodes
把PFX转换成了可以看懂的PEM文本文件(BASE64编码),这样我找到了证书和私钥.

证书可以很容易导入到JKS文件中,问题是java的keytool不能把私钥导入,这时我又找到了一个实用工具类ImportKey (注:代码拷贝自下面的站点:[url]http://www.agentbob.info/agentbob/79-AB.html[/url]) 


        try {
            // initializing and clearing keystore 
            KeyStore ks = KeyStore.getInstance("JKS", "SUN");
            ks.load( null , keypass.toCharArray());
            System.out.println("Using keystore-file : "+keystorename);
            ks.store(new FileOutputStream ( keystorename  ),
                    keypass.toCharArray());
            ks.load(new FileInputStream ( keystorename ),
                    keypass.toCharArray());

            // loading Key
            InputStream fl = fullStream (keyfile);
            byte[] key = new byte[fl.available()];
            KeyFactory kf = KeyFactory.getInstance("RSA");
            fl.read ( key, 0, fl.available() );
            fl.close();
            PKCS8EncodedKeySpec keysp = new PKCS8EncodedKeySpec ( key );
            PrivateKey ff = kf.generatePrivate (keysp);

            // loading CertificateChain
            CertificateFactory cf = CertificateFactory.getInstance("X.509");
            InputStream certstream = fullStream (certfile);

            Collection c = cf.generateCertificates(certstream) ;
            Certificate[] certs = new Certificate[c.toArray().length];

            if (c.size() == 1) {
                certstream = fullStream (certfile);
                System.out.println("One certificate, no chain.");
                Certificate cert = cf.generateCertificate(certstream) ;
                certs[0] = cert;
            } else {
                System.out.println("Certificate chain length: "+c.size());
                certs = (Certificate[])c.toArray();
            }

            // storing keystore
            ks.setKeyEntry(defaultalias, ff, keypass.toCharArray(), certs );
            System.out.println ("Key and certificate stored.");
            System.out.println ("Alias:"+defaultalias+"  Password:"+keypass);
            ks.store(new FileOutputStream ( keystorename ), keypass.toCharArray());
        } catch (Exception ex) {
            ex.printStackTrace();
        }


接下来遇到的问题是: 微软的Web service provider只接受application/soap+xml的Content-Type, 而AXIS-1.4发送的消息类型是text/xml...

22日与Mike聊天,问题很多: 微软的provider只支持SOAP 1.2,而Higgins STS目前的状态是SOAP 1.1的,留待Mike老兄处理了.我先把上层应用部分的code提交到Eclipse了.

25日, OK, Mike老兄发信声称他已经把STS部分的代码搞定了,可以check out出来一试究竟. 目前SVN中code是可以用于Wag IdP的(wag.bandit-project.org),但是微软的还不行,他们只支持SOAP 1.2, 我们只支持SOAP 1.1~~~
sphinxes
关注
专栏目录
X.509证书的介绍
baron-周贺贺-代码改变世界ctw
10-15 3711
1、X.509简介 X.509是密码学里公钥证书的格式标准。X.509证书已应用在包括TLS/SSL在内的众多网络协议里,同时它也用在很多非在线应用场景里,比如电子签名服务。X.509证书里含有公钥、身份信息(比如网络主机名,组织的名称或个体名称等)和签名信息(可以是证书签发机构CA的签名,也可以是自签名)。 X.509还附带了证书吊销列表和用于从最终对证书进行签名的证书签发机构直到最终可信点为止的证书合法性验证算法。X.509是ITU-T标准化部门基于他们之前的ASN.1定义的一套证书标准。 2、证书组成
KeyTool生成证书链及在java、c#中的运用
flyinmind的专栏
09-14 3734
SSL中用到证书,那么证书是什么?证书可以理解为一个包含了签发方信息、拥有者信息、公钥、由签发方私钥产生的签名等信息的文档,当然还包括其他一些信息。校验用户证书是否可信,实际上就是检验该证书是否由合法的机构签发的。校验时,通过该证书中的结构信息找到对应机构的证书,利用机构证书中的公钥去校验用户证书中的签名是否正确。从上述校验方法可以看出,证书是否可信,是由其签发方证书来校验的,而机构的证书是否可信,是由上一层机构的证书来校验的,如此就形成一条证书链,最顶层机构的证书的就是常说的根证书
OpenSSL生成v3证书方法及配置文件
weixin_34066347的博客
12-05 1476
场景: 业务需要生成v3版的证书,而一般使用OpenSSL生成证书时都是v1版的,不带扩展属性。方法:在使用CA证书进行签署证书时加入-exfile和-extensions选项,具体命令如下:>opensslx509-req-days365-sha256-extfileopenssl.cnf-extensionsv3_req-inserver...
openssl制作V3证书实现基于https的 webservice双向认证(本篇只讲述证书制作过程)...
weixin_33749131的博客
09-22 333
2019独角兽企业重金招聘Python工程师标准>>> ...
使用keytool和openssl生成证书及格式互转
NewTWG的专栏
02-24 3540
keytool生成证书示例 生成私钥+证书:keytool -genkey -alias client -keysize 2048 -validity 3650 -keyalg RSA -dname "CN=localhost" -keypass $client_passwd -storepass $client_passwd -keystore ClientCert.jks 生成文件文件Cli...
openssl 生成X509 V3的根证书及签名证书
热门推荐
冰冻三尺非一日之寒
05-16 1万+
openssl 生成X509 V3的根证书及签名证书在测试的时候有时需要使用证书。因此使用OpenSSL创建自签名根证书,使用根证书签发证书显得很重要。1、生成根证书及自签名证书1.创建根证私钥    openssl genrsa -out root-key.key 10242.创建根证书请求文件    openssl req -new -out root-req.csr -key root-ke...
基于python的统一身份认证授权管理解决方案,支持多种标准协议(LDAP, OAuth2, SAML, OpenID)
08-30
基于Python的统一身份认证授权管理系统提供了一种高效、安全的解决方案,它能够支持多种业界标准协议,如LDAP(轻量目录访问协议)、OAuth2、SAML(Security Assertion Markup Language)以及OpenID。这些协议在不同...
基于Objective-C和多种语言的IDP2 NativeAPP iOS设计源码
最新发布
09-28
本项目是一款基于Objective-C核心开发的IDP2 NativeAPP iOS应用程序源码,集成了多种编程语言,包括C, MATLAB, Swift, Shell, HTML等,共计404个文件。具体文件构成如下:Objective-C头文件263个,实现文件73个,...
Iphone 非IDP万能证书
08-08
【Iphone非IDP万能证书】是一种在iOS设备上用于开发和测试应用程序的特殊证书类型,它允许开发者在没有通过Apple的官方Developer Program(IDP,即苹果开发者计划)的情况下,安装和运行未经过App Store审核的应用。...
设置客户端证书
wyf
12-26 174
 为了执行授权,Web 服务经常需要能够对它们的调用方(其它应用程序)进行身份验证。客户端证书为 Web 服务提供了一种非常好的身份验证机制。如果您使用客户端证书,您的应用程序也会得益于客户端应用程序和 Web 服务之间的安全通道创建(使用安全套接字层 [SSL])。这样您就可以安全地在 Web 服务之间传送保密信息。SSL 确保消息的完整性和机密性。   本“如何做”包括调用配置为需要客户端证...
KeyTool与OpenSSL生成证书
Laiix的博客
06-23 925
原文地址:http://www.eussi.top/view/27 KeyTool public class _01_Keytool { /** * passwd:123456 * 1. 构建自签名证书 #构建证书前,生成密钥对,即基于一种非对称加密的公私钥 C:\Users\wangxueming&gt...
openss CA签署带扩展字段的证书
kunyus的博客
02-21 1107
生成签署请求 openssl req -new -key ../ca.key -out metrics-server.csr -reqexts SAN -extensions SAN -subj "/C=CN/ST=Guang'dong/L=Sheng'zhen/O=Kubernetes/OU=dev/CN=metrics-server.k8s.com" -config <(cat /etc...
X.509 v3证书示例
痴迷无限好
04-08 1733
大多数普通用途的证书基于 X.509 v3 证书标准。 [url=https://blog.csdn.net/yi_zz32/article/details/50097325]一步一步 搞定RSA(公钥、私钥)[/url] [url=https://blog.csdn.net/myxmu/article/details/8124470]X.509 v3证书[/url]数据结构如下: ...
Nginx开启多SSL证书支持--TLS SNI support
weixin_33693070的博客
11-06 238
Nginx支持多域名SSL证书是需要OpenSSL库支持的,CentOS5.X的OpenSSL库本身不支持这种特性,需要重新下载编译,步骤如下wgethttps://www.openssl.org/source/old/0.9.x/openssl-0.9.8zh.tar.gz tarzxvf./openssl-0.9.8zh.tar.gz cd./openssl-0....
电子证书 DER vs. CRT vs. CER vs. PEM
googling的专栏
08-18 1万+
原文链接 一直对电子证书的文件后缀比较头大,搞不清这些后缀的关系,终于在网上搜到一个比较简明的文章,试着翻译一下:) 证书与编码 本至上,X.509证书是一个数字文档,这个文档根据RFC 5280来编码并/或签发。 实际上,“X.509证书”经
java keytool安装证书流程(含SM2证书)
arlaichin的专栏
12-29 1万+
1 产生密钥对keytool -keystore E:/wjmw.jks -genkey -alias server -keyalg RSA -keysize 10242 产生证书请求keytool -keystore E:/wjmw.jks -certreq -alias server -file server.csr -sigalg SHA1withRSA3 导入信任证书链keytool -k...
生成SAML所需X509证书
horncui的博客
07-16 3185
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几...
利用keytool/Openssl来生成服务端和客户端证书,根证书
CNZYYH的博客
12-13 3014
1.首先下载openssl并安装,然后将D:\zhengshu\OpenSSL-Win32\bin这个路径放到环境变量path里面(要根据具体openssl安装的位置) 2.安装jdk(最好是1.7以上,我用的是1.7)   然后在cmd下面开始执行以下命令:   C:\Users\Administrator>d: D:\>mkdir server D:\>mkdir c
SAMLv2.0 X.509认证部署规范
"SAMLV2.0 Deployment Profiles for X.509 Subjects 是一份由OASIS Security Services Technical Committee发布的规范,详细介绍了如何在SAML2.0环境中部署和使用X.509证书。这份文档是Committee Specification 01...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值