JAVA8 通过根证书及私钥生成子证书。

最新推荐文章于 2024-02-06 18:04:24 发布
最新推荐文章于 2024-02-06 18:04:24 发布
阅读量801 收藏 5
点赞数 1
文章标签: ca证书 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010590805/article/details/121402536
版权

最近需要添加EMQX的双向认证。通过服务器生成根证书的子证书及私钥发送给设备。

 话不多说。直接上DEMO


import cn.hutool.core.date.DateUtil;
import cn.hutool.core.io.IoUtil;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.math.BigInteger;
import java.nio.charset.StandardCharsets;
import java.security.KeyFactory;
import java.security.KeyPair;
import java.security.KeyPairGenerator;
import java.security.PrivateKey;
import java.security.Security;
import java.security.cert.CertificateFactory;
import java.security.cert.X509Certificate;
import java.security.spec.PKCS8EncodedKeySpec;
import java.util.Base64;
import java.util.Date;
import lombok.SneakyThrows;
import org.bouncycastle.asn1.x500.X500Name;
import org.bouncycastle.asn1.x500.X500NameBuilder;
import org.bouncycastle.asn1.x500.style.BCStyle;
import org.bouncycastle.cert.X509CertificateHolder;
import org.bouncycastle.cert.jcajce.JcaX509CertificateConverter;
import org.bouncycastle.cert.jcajce.JcaX509v3CertificateBuilder;
import org.bouncycastle.jce.provider.BouncyCastleProvider;
import org.bouncycastle.operator.ContentSigner;
import org.bouncycastle.operator.jcajce.JcaContentSignerBuilder;
import sun.misc.BASE64Decoder;

/**
 * @author TanJ
 * @date 2021/11/16 17:20
 */
public class X509 {

//私钥
 private static final String PRIVATE_KEY_S = "-----BEGIN RSA PRIVATE KEY-----\n";
 private static final String PRIVATE_KEY_E = "\n-----END RSA PRIVATE KEY-----";
 //证书
 private static final String CERTIFICATE_S = "-----BEGIN CERTIFICATE-----\n";
 private static final String CERTIFICATE_E = "\n-----END CERTIFICATE-----";



  static{
    try{
      Security.addProvider(new BouncyCastleProvider());
    }catch(Exception e){
      e.printStackTrace();
    }
  }


  /**
   * 加载私钥
   * @param privateKey
   * @return
   * @throws Exception
   */
  public static PrivateKey getPrivateKey(String privateKey) throws Exception {
    // 解码由base64编码的私钥
    BASE64Decoder base64Decoder= new BASE64Decoder();
    byte[] keyBytes = base64Decoder.decodeBuffer(privateKey);

    PKCS8EncodedKeySpec keySpec= new PKCS8EncodedKeySpec(keyBytes);
    KeyFactory keyFactory= KeyFactory.getInstance("RSA");
    return keyFactory.generatePrivate(keySpec);
  }

  @SneakyThrows
  public static void main(String[] args) {
    //加载根证书
    CertificateFactory cf = CertificateFactory.getInstance("X.509");
    X509Certificate rootCert = (X509Certificate) cf
        .generateCertificate(new FileInputStream("XXXX/ca.pem"));

    //提取根证书私钥  注意参数需要去除证书中的前缀及后缀!!
    PrivateKey rootPrivateKey = getPrivateKey(
        "MIIEvQIBADANBgkqhkiG9w0s...");

    // 生成client私钥
    KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance("RSA");
    keyPairGen.initialize(2048);

    KeyPair keyPair =  keyPairGen.genKeyPair();

    PrivateKey privateKey = keyPair.getPrivate();

    //填充subject信息
    X500NameBuilder nameBuilder = new X500NameBuilder(BCStyle.INSTANCE);
    nameBuilder.addRDN(BCStyle.C, "testClient");

    BigInteger serial = new BigInteger(Long.toString(System.currentTimeMillis()));
    org.bouncycastle.asn1.x500.X500Name subjectName  = nameBuilder.build();

// 发行者名称
    final X500Name issuerName;
    if (rootCert == null) {
      // 如果没有根证书,则默认用当前证书
      issuerName = subjectName;
    } else {
      //设置下发证书为根证书信息
      issuerName = new X509CertificateHolder(rootCert.getEncoded()).getSubject();
    }
    //证书过期时间
    Date notBefore = new Date(System.currentTimeMillis());
    Date notAfter = DateUtil.offsetMonth(notBefore,12);
    JcaX509v3CertificateBuilder certBuilder = new JcaX509v3CertificateBuilder(issuerName, serial, notBefore, notAfter, subjectName, keyPair.getPublic());

//-----------
    // 添加信息
//    final JcaX509ExtensionUtils u = new JcaX509ExtensionUtils();
//    if (rootCert != null) {
//      // Authority key identifier 2.5.29.35
//      certBuilder.addExtension(Extension.authorityKeyIdentifier, false, //u.createAuthorityKeyIdentifier(rootCert));
//    }
// Subject key identifier 2.5.29.14
//    certBuilder.addExtension(Extension.subjectKeyIdentifier, false,
//        u.createSubjectKeyIdentifier(keyPair.getPublic()));
// Key usage 2.5.29.15
//    if (rootCert == null) {
//      certBuilder.addExtension(Extension.keyUsage, true,
//          new KeyUsage(KeyUsage.digitalSignature | KeyUsage.keyEncipherment | //KeyUsage.dataEncipherment
//              | KeyUsage.keyAgreement | KeyUsage.nonRepudiation | KeyUsage.cRLSign
//              | KeyUsage.keyCertSign));
//    }
// Basic Constraints 2.5.29.19
//    certBuilder.addExtension(Extension.basicConstraints, false, new //BasicConstraints(rootCert == null));
// Extended key usage 2.5.29.37
//    certBuilder.addExtension(Extension.extendedKeyUsage, false, new ExtendedKeyUsage(
//        new KeyPurposeId[] { KeyPurposeId.id_kp_clientAuth, //KeyPurposeId.id_kp_serverAuth }));
// CRL distribution points 2.5.29.31
//    String SERVER_BASE_REST_PKI_URL = "123";
//    String CRL_URL = "456";
//    DistributionPointName distributionPoint = new DistributionPointName(new //GeneralNames(new GeneralName(
//        GeneralName.uniformResourceIdentifier, SERVER_BASE_REST_PKI_URL + issuerName + //CRL_URL)));
//    DistributionPoint[] distPoints = new DistributionPoint[1];
//    distPoints[0] = new DistributionPoint(distributionPoint, null, null);
//    certBuilder.addExtension(Extension.cRLDistributionPoints, false, new //CRLDistPoint(distPoints));
    //----


    //设置使用根证书私钥进行签名。算法使用根证书相同算法
    ContentSigner signer = new JcaContentSignerBuilder(  rootCert.getSigAlgName()).build(rootPrivateKey);
    X509CertificateHolder certHolder = certBuilder.build(signer);
    X509Certificate certificate = new JcaX509CertificateConverter().getCertificate(certHolder);
    //拼接证书格式
    String privateKeyStr =
        PRIVATE_KEY_S + new String(Base64.getEncoder().encode(privateKey.getEncoded()))
            + PRIVATE_KEY_E;

    String certificateStr =
        CERTIFICATE_S + new String(  Base64.getEncoder().encode((certificate.getEncoded())))
            + CERTIFICATE_E;

    //以下自行发挥
    //TODO
    IoUtil.write(new FileOutputStream(".../client.key"), true,
        privateKeyStr.getBytes(StandardCharsets.UTF_8));

    IoUtil.write(new FileOutputStream(".../client.pem"), true,
        certificateStr.getBytes(StandardCharsets.UTF_8));


  }
}

银_King
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java生成的国密cer证书
08-24
国密算法是我国自主研发创新的一套数据加密处理系列算法,很多项目都在用了,所以用Java代码生成的基于国密算法签发的sm2 证书,放到资源里面方便大家下载使用。
自颁私钥文件和证书文件demo-java
12-19
IDEA开发的纯java源码 提供颁发私钥证书接口,获取公私钥,自定义证书主题信息,同时提供合成pfx文件的接口 私钥数据和证书数据可通过ssl工具的匹配,可进行签名验签、加解密操作。
Windows下证书私钥证书请求CSR生成工具
12-05
Windows下证书私钥证书请求CSR生成工具,一键生成私钥和CSR文件,直接发给证书供应商或者自签名就可以了
证书私钥生成demo-(C++)VS开发
12-21
提供获取证书文件、私钥文件以及获取公钥,VS2017开发的C++代码
【国密SM2】基于Hutool的SM2公私钥生成、签名验签、加密解密(30行代码搞定)
Java全栈开发者
10-11 8042
由于在公司项目中需要用到国密SM2秘钥生成、签名、验签功能,找了网上很多的资料,发现其工具类都异常复杂,最终找到了hutool工具包,但其官网的示例也不尽人意。于是,对Hutool提供的SM2类进行封装,封装成了自己使用的Sm2Util工具类,代码量在20行以内,尽可能做到简单易懂。
java 创建证书_创建证书及证书
weixin_39858132的博客
02-24 511
“CN=***” ,不然证书就和域名不一致了,至于其他就是文件名,无所谓了!1. 使用MakeCert.exe创建一个自签名的证书makecert -n “CN=www.xiaoyan.me” -sv RootCA.pvk -r RootCA.cer-n subjectName 指定主题名称-sv privateKeyFile 指定包含私钥容器的文件-r 指定证书为自签名2. 通过签发好的证书...
Java 生成X.509 V3证书
Cloud-Future的博客
10-24 5314
Java 生成 X509 V3证书 使用Java 语言生成 X.509 V3证书 pem格式证书生成 使用Java 语言生成 X.509 V3 pem格式证书
java生成证书_纯Java实现数字证书生成签名的简单实例
weixin_39639600的博客
02-12 766
package com.ylsoft.cert;import java.io.File;import java.io.FileInputStream;import java.io.FileOutputStream;import java.io.IOException;import java.security.InvalidKeyException;import java.security.KeyP...
Java加解密(八)数字证书
yunyun1886358的专栏
01-15 3852
数字证书(Digital Certificate),一般指公钥证书(Public Key Certificate,PKC),类似于我们生活中的身份证,用于标识网络中的用户(计算机)身份,里面记有姓名、组织,邮箱,地区,国家等个人信息,以及属于此人的公钥,还包含由认证机构(Certification Authority,CA)施加的数字签名。公钥证书也简称为证书(Certificate)。上面的描述是不是很抽象,下面我们来具体看一看一个证书包含的具体数据。下面的内容是通过Java程序从证书文件。
SM2证书生成
weixin_40321392的博客
04-15 1801
证书SM2生成 import java.io.FileOutputStream; import java.math.BigInteger; import java.security.KeyPair; import java.security.KeyPairGenerator; import java.security.SecureRandom; import java.security.Secur...
Java如何基于command调用openssl生成私钥证书
08-18
主要介绍了Java如何基于command调用openssl生成私钥证书,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
java证书颁发二级证书_OpenSSL 给自己颁发证书,由证书签发下级证书的步骤。...
weixin_39649405的博客
02-26 833
1.建立证书(1)生成私钥openssl genrsa -des3 -out CAroot.key 2048。产生一个2048位的私钥,在安装的openssl目录下调用openssl命令。需要输入私钥保护口令。产生CAroot.key文件。(2)生成证书请求openssl req -new -key CAroot.key -out rootca.csr -config D:\OpensslI...
java hutool 国密2 国密4 加密解密 生成密钥
最新发布
TheRulingPower的博客
02-06 976
【代码】java hutool 国密2 国密4 加密解密 生成密钥。
x509证书,SSL详解
glowd的专栏
04-15 6005
引言 使用HTTP(超文本传输)协议访问互联网上的数据是没有经过加密的。也就是说,任何人都可以通过适当的工具拦截或者监听到在网络上传输的数据流。但是有时候,我们需要在网络上传输一些安全性或者私秘性的数据,譬如:包含信用卡及商品信息的电订单。这个时候,如果仍然使用HTTP协议,势必会面临非常大的风险!相信没有人能接受自己的信用卡号在互联网上裸奔。 HTTPS(超文本传输安全)协议无疑可以有效的解决...
Java生成SM2证书基于BouncyCastle(cer)
热门推荐
小帅丶的专栏
08-08 2万+
Java生成SM2证书基于BouncyCastle(cer) 可以先加QQ 783021975 咨询相关问题。代码后续会更新一部分 【SM2证书】利用BC的X509v3CertificateBuilder组装X509国密证书 SM2、SM4加解密 SM2 SM3 签名验签代码部分开源在gitee&github https://github.com/xiaoshuaishuai319...
Java生成SSL证书
孤山之王
08-27 5016
JAVA生成SSL证书,可以在HTTPS中使用
手动实现CA数字认证(java
qq_51715571的博客
12-05 1445
数字签名、CA认证、加密算法
java openssl库_Java代码使用BC库中org.bouncycastle.openssl.PEMWriter 的 代码示例
weixin_39937524的博客
02-16 1166
以下是显示如何使用 org.bouncycastle.openssl.PEMWriter 的最佳投票示例。 这些示例是从开源项目中提取的。 您可以对您喜欢的示例进行投票,您的投票将在我们的系统中使用,以生成更多好的示例。示例一 保存密钥和证书到文件中/*** 保存私钥证书至文件* @throws Exception*/protected void saveKeyPairAndCertificat...
【使用OpenSSL生成CA证书及签发证书
weixin_42835221的博客
04-08 1562
使用OpenSSL生成CA证书及签发证书 目录使用OpenSSL生成CA证书及签发证书一、基础知识二、安装OpenSSL1.下载地址三、生成一份 CA 证书1.创建私钥2.生成证书请求文件(CSR)3.自签署证书四、生成一份 CA 证书证书(跟)总结 一、基础知识 OpenSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用密钥、证书封装管理功能及实现ssl协议。OpenSSL整个软件包大概可以分成三个主要的功能部分:SSL协议库libssl、应用程序命令工具以及密码算法库libcryp
通过公钥证书私钥生成p12证书的C++代码示例
05-31
以下是使用 OpenSSL 库通过公钥证书私钥生成 p12 格式证书的 C++ 代码示例: ``` #include <openssl/pem.h> #include <openssl/x509.h> #include <openssl/pkcs12.h> int main() { // 读取公钥证书私钥 BIO* bio = BIO_new_file("cert.pem", "r"); X509* x509 = PEM_read_bio_X509(bio, NULL, NULL, NULL); BIO_free(bio); bio = BIO_new_file("private.key", "r"); EVP_PKEY* pkey = PEM_read_bio_PrivateKey(bio, NULL, NULL, NULL); BIO_free(bio); // 生成p12格式证书 PKCS12* p12 = PKCS12_create(NULL, "p12_password", pkey, x509, NULL, 0, 0, 0, 0, 0); FILE* fp = fopen("cert.p12", "wb"); i2d_PKCS12_fp(fp, p12); fclose(fp); PKCS12_free(p12); // 释放资源 X509_free(x509); EVP_PKEY_free(pkey); return 0; } ``` 以上代码中,使用 OpenSSL 库提供的 PEM_read_bio_X509 和 PEM_read_bio_PrivateKey 函数分别读取公钥证书私钥,然后使用 PKCS12_create 函数生成 p12 格式证书,并使用 i2d_PKCS12_fp 函数将其写入文件。最后,释放资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值