Java加密技术(十二)——*.PFX(*.p12)&个人信息交换文件
今天来点实际工作中的硬通货! 
与计费系统打交道,少不了用到加密/解密实现。为了安全起见,通过非对称加密交换对称加密密钥更是不可或缺。那么需要通过什么载体传递非对称算法公钥/私钥信息?数字证书是公钥的载体,而密钥库可以包含公钥、私钥信息。 
JKSPKCS#12都是比较常用的两种密钥库格式/标准。对于前者,搞Java开发,尤其是接触过HTTPS平台的朋友,并不陌生。JKS文件(通常为*.jks或*.keystore,扩展名无关)可以通过Java原生工具——KeyTool生成;而后者PKCS#12文件(通常为*.p12或*.pfx,意味个人信息交换文件),则是通过更为常用的OpenSSL工具产生。 
当然,这两者之间是可以通过导入/导出的方式进行转换的!当然,这种转换需要通过KeyTool工具进行! 
回归正题,计费同事遇到一个难题:合作方交给他们一个*.pfx文件,需要他们从中提取密钥,然后进行加密交互。其实,通过Java直接操作密钥库文件(或个人信息交换文件)对于一般Java开发人员来说,这都是个冷门。不接触数字安全,根本不知所云。况且,Java原生的密钥库文件格式为JKS,如何操作*.pfx文件?密钥库操作需要获知密钥库别名,*.pfx别名是什么?!接下来就解决这些问题! 

方案: 
  1. 通过keytool密钥库导入命令importkeystore,将密钥库格式由PKCS#12转换为JKS。
  2. 检索新生成的密钥库文件,提取别名信息。
  3. 由密钥库文件导出数字证书(这里将用到别名)。
  4. 通过代码提取公钥/私钥、签名算法等

先看格式转换: 
Cmd代码  收藏代码
  1. echo 格式转换  
  2. keytool -importkeystore -v  -srckeystore zlex.pfx -srcstoretype pkcs12 -srcstorepass 123456 -destkeystore zlex.keystore -deststoretype jks -deststorepass 123456  

-importkeystore导入密钥库,通过格式设定,我们可以将PKCS#12文件转换为JKS格式。 
-v显示详情 
-srckeystore源密钥库,这里是zlex.pfx 
-srcstoretype源密钥库格式,这里为pkcs12 
-srcstorepass源密钥库密码,这里为123456 
-destkeystore目标密钥库,这里为zlex.keystore 
-deststoretype目标密钥库格式,这里为jks,默认值也如此 
-deststorepass目标密钥库密码,这里为123456 
通过这个操作,我们能够获得所需的密钥库文件zlex.keystore。 
 
这时,我们已经获得了密钥库文件,只要确定对应的别名信息,就可以提取公钥/私钥,以及数字证书,进行加密交互了! 
Cmd代码  收藏代码
  1. echo 查看证书  
  2. keytool -list -keystore zlex.keystore -storepass 123456 -v  

-list列举密钥库 
-keystore密钥库,这里是zlex.keystore 
-storepass密钥库密码,这里是123456 
-v显示详情 
 
这里需要细致观察一下别名信息!!!就是红框中的数字1!!! 


现在,我们把证书导出! 
Cmd代码  收藏代码
  1. echo 导出证书  
  2. keytool -exportcert -alias 1 -keystore zlex.keystore -file zlex.crt -storepass 123456  

-exportcert导出证书 
-alias别名,这里是1 
-keystore密钥库,这里是zlex.keystore 
-file证书文件,这里是zlex.crt 
-storepass密钥库密码,这里是123456 
 
现在证书也导出了,我们可以提取公钥/私钥,进行加密/解密,签名/验证操作了!当然,即便没有证书,我们也能够通过密钥库(JKS格式)文件获得证书,以及公钥/私钥、签名算法等。 
补充代码, 其实就是对Java加密技术(八)的修改! 
Java代码  收藏代码
  1. /** 
  2.  * 2010-8-11 
  3.  */  
  4.   
  5. import java.io.FileInputStream;  
  6. import java.security.KeyStore;  
  7. import java.security.PrivateKey;  
  8. import java.security.PublicKey;  
  9. import java.security.Signature;  
  10. import java.security.cert.Certificate;  
  11. import java.security.cert.CertificateFactory;  
  12. import java.security.cert.X509Certificate;  
  13. import java.util.Date;  
  14.   
  15. import javax.crypto.Cipher;  
  16.   
  17. /** 
  18.  * 证书操作类 
  19.  *  
  20.  * @author <a href="mailto:zlex.dongliang@gmail.com">梁栋</a> 
  21.  * @since 1.0 
  22.  */  
  23. public class CertificateCoder {  
  24.     /** 
  25.      * Java密钥库(Java Key Store,JKS)KEY_STORE 
  26.      */  
  27.     public static final String KEY_STORE = "JKS";  
  28.   
  29.     public static final String X509 = "X.509";  
  30.   
  31.     /** 
  32.      * 由 KeyStore获得私钥 
  33.      *  
  34.      * @param keyStorePath 
  35.      * @param keyStorePassword 
  36.      * @param alias 
  37.      * @param aliasPassword 
  38.      * @return 
  39.      * @throws Exception 
  40.      */  
  41.     private static PrivateKey getPrivateKey(String keyStorePath,  
  42.             String keyStorePassword, String alias, String aliasPassword)  
  43.             throws Exception {  
  44.         KeyStore ks = getKeyStore(keyStorePath, keyStorePassword);  
  45.         PrivateKey key = (PrivateKey) ks.getKey(alias,  
  46.                 aliasPassword.toCharArray());  
  47.         return key;  
  48.     }  
  49.   
  50.     /** 
  51.      * 由 Certificate获得公钥 
  52.      *  
  53.      * @param certificatePath 
  54.      * @return 
  55.      * @throws Exception 
  56.      */  
  57.     private static PublicKey getPublicKey(String certificatePath)  
  58.             throws Exception {  
  59.         Certificate certificate = getCertificate(certificatePath);  
  60.         PublicKey key = certificate.getPublicKey();  
  61.         return key;  
  62.     }  
  63.   
  64.     /** 
  65.      * 获得Certificate 
  66.      *  
  67.      * @param certificatePath 
  68.      * @return 
  69.      * @throws Exception 
  70.      */  
  71.     private static Certificate getCertificate(String certificatePath)  
  72.             throws Exception {  
  73.         CertificateFactory certificateFactory = CertificateFactory  
  74.                 .getInstance(X509);  
  75.         FileInputStream in = new FileInputStream(certificatePath);  
  76.   
  77.         Certificate certificate = certificateFactory.generateCertificate(in);  
  78.         in.close();  
  79.   
  80.         return certificate;  
  81.     }  
  82.   
  83.     /** 
  84.      * 获得Certificate 
  85.      *  
  86.      * @param keyStorePath 
  87.      * @param keyStorePassword 
  88.      * @param alias 
  89.      * @return 
  90.      * @throws Exception 
  91.      */  
  92.     private static Certificate getCertificate(String keyStorePath,  
  93.             String keyStorePassword, String alias) throws Exception {  
  94.         KeyStore ks = getKeyStore(keyStorePath, keyStorePassword);  
  95.         Certificate certificate = ks.getCertificate(alias);  
  96.   
  97.         return certificate;  
  98.     }  
  99.   
  100.     /** 
  101.      * 获得KeyStore 
  102.      *  
  103.      * @param keyStorePath 
  104.      * @param password 
  105.      * @return 
  106.      * @throws Exception 
  107.      */  
  108.     private static KeyStore getKeyStore(String keyStorePath, String password)  
  109.             throws Exception {  
  110.         FileInputStream is = new FileInputStream(keyStorePath);  
  111.         KeyStore ks = KeyStore.getInstance(KEY_STORE);  
  112.         ks.load(is, password.toCharArray());  
  113.         is.close();  
  114.         return ks;  
  115.     }  
  116.   
  117.     /** 
  118.      * 私钥加密 
  119.      *  
  120.      * @param data 
  121.      * @param keyStorePath 
  122.      * @param keyStorePassword 
  123.      * @param alias 
  124.      * @param aliasPassword 
  125.      * @return 
  126.      * @throws Exception 
  127.      */  
  128.     public static byte[] encryptByPrivateKey(byte[] data, String keyStorePath,  
  129.             String keyStorePassword, String alias, String aliasPassword)  
  130.             throws Exception {  
  131.         // 取得私钥  
  132.         PrivateKey privateKey = getPrivateKey(keyStorePath, keyStorePassword,  
  133.                 alias, aliasPassword);  
  134.   
  135.         // 对数据加密  
  136.         Cipher cipher = Cipher.getInstance(privateKey.getAlgorithm());  
  137.         cipher.init(Cipher.ENCRYPT_MODE, privateKey);  
  138.   
  139.         return cipher.doFinal(data);  
  140.   
  141.     }  
  142.   
  143.     /** 
  144.      * 私钥解密 
  145.      *  
  146.      * @param data 
  147.      * @param keyStorePath 
  148.      * @param alias 
  149.      * @param keyStorePassword 
  150.      * @param aliasPassword 
  151.      * @return 
  152.      * @throws Exception 
  153.      */  
  154.     public static byte[] decryptByPrivateKey(byte[] data, String keyStorePath,  
  155.             String alias, String keyStorePassword, String aliasPassword)  
  156.             throws Exception {  
  157.         // 取得私钥  
  158.         PrivateKey privateKey = getPrivateKey(keyStorePath, keyStorePassword,  
  159.                 alias, aliasPassword);  
  160.   
  161.         // 对数据加密  
  162.         Cipher cipher = Cipher.getInstance(privateKey.getAlgorithm());  
  163.         cipher.init(Cipher.DECRYPT_MODE, privateKey);  
  164.   
  165.         return cipher.doFinal(data);  
  166.   
  167.     }  
  168.   
  169.     /** 
  170.      * 公钥加密 
  171.      *  
  172.      * @param data 
  173.      * @param certificatePath 
  174.      * @return 
  175.      * @throws Exception 
  176.      */  
  177.     public static byte[] encryptByPublicKey(byte[] data, String certificatePath)  
  178.             throws Exception {  
  179.   
  180.         // 取得公钥  
  181.         PublicKey publicKey = getPublicKey(certificatePath);  
  182.         // 对数据加密  
  183.         Cipher cipher = Cipher.getInstance(publicKey.getAlgorithm());  
  184.         cipher.init(Cipher.ENCRYPT_MODE, publicKey);  
  185.   
  186.         return cipher.doFinal(data);  
  187.   
  188.     }  
  189.   
  190.     /** 
  191.      * 公钥解密 
  192.      *  
  193.      * @param data 
  194.      * @param certificatePath 
  195.      * @return 
  196.      * @throws Exception 
  197.      */  
  198.     public static byte[] decryptByPublicKey(byte[] data, String certificatePath)  
  199.             throws Exception {  
  200.         // 取得公钥  
  201.         PublicKey publicKey = getPublicKey(certificatePath);  
  202.   
  203.         // 对数据加密  
  204.         Cipher cipher = Cipher.getInstance(publicKey.getAlgorithm());  
  205.         cipher.init(Cipher.DECRYPT_MODE, publicKey);  
  206.   
  207.         return cipher.doFinal(data);  
  208.   
  209.     }  
  210.   
  211.     /** 
  212.      * 验证Certificate 
  213.      *  
  214.      * @param certificatePath 
  215.      * @return 
  216.      */  
  217.     public static boolean verifyCertificate(String certificatePath) {  
  218.         return verifyCertificate(new Date(), certificatePath);  
  219.     }  
  220.   
  221.     /** 
  222.      * 验证Certificate是否过期或无效 
  223.      *  
  224.      * @param date 
  225.      * @param certificatePath 
  226.      * @return 
  227.      */  
  228.     public static boolean verifyCertificate(Date date, String certificatePath) {  
  229.         boolean status = true;  
  230.         try {  
  231.             // 取得证书  
  232.             Certificate certificate = getCertificate(certificatePath);  
  233.             // 验证证书是否过期或无效  
  234.             status = verifyCertificate(date, certificate);  
  235.         } catch (Exception e) {  
  236.             status = false;  
  237.         }  
  238.         return status;  
  239.     }  
  240.   
  241.     /** 
  242.      * 验证证书是否过期或无效 
  243.      *  
  244.      * @param date 
  245.      * @param certificate 
  246.      * @return 
  247.      */  
  248.     private static boolean verifyCertificate(Date date, Certificate certificate) {  
  249.         boolean status = true;  
  250.         try {  
  251.             X509Certificate x509Certificate = (X509Certificate) certificate;  
  252.             x509Certificate.checkValidity(date);  
  253.         } catch (Exception e) {  
  254.             status = false;  
  255.         }  
  256.         return status;  
  257.     }  
  258.   
  259.     /** 
  260.      * 签名 
  261.      *  
  262.      * @param keyStorePath 
  263.      * @param alias 
  264.      * @param keyStorePassword 
  265.      * @param aliasPassword 
  266.      * @return 
  267.      * @throws Exception 
  268.      */  
  269.     public static byte[] sign(byte[] sign, String keyStorePath, String alias,  
  270.             String keyStorePassword, String aliasPassword) throws Exception {  
  271.         // 获得证书  
  272.         X509Certificate x509Certificate = (X509Certificate) getCertificate(  
  273.                 keyStorePath, keyStorePassword, alias);  
  274.   
  275.         // 取得私钥  
  276.         PrivateKey privateKey = getPrivateKey(keyStorePath, keyStorePassword,  
  277.                 alias, aliasPassword);  
  278.   
  279.         // 构建签名  
  280.         Signature signature = Signature.getInstance(x509Certificate  
  281.                 .getSigAlgName());  
  282.         signature.initSign(privateKey);  
  283.         signature.update(sign);  
  284.         return signature.sign();  
  285.     }  
  286.   
  287.     /** 
  288.      * 验证签名 
  289.      *  
  290.      * @param data 
  291.      * @param sign 
  292.      * @param certificatePath 
  293.      * @return 
  294.      * @throws Exception 
  295.      */  
  296.     public static boolean verify(byte[] data, byte[] sign,  
  297.             String certificatePath) throws Exception {  
  298.         // 获得证书  
  299.         X509Certificate x509Certificate = (X509Certificate) getCertificate(certificatePath);  
  300.         // 获得公钥  
  301.         PublicKey publicKey = x509Certificate.getPublicKey();  
  302.         // 构建签名  
  303.         Signature signature = Signature.getInstance(x509Certificate  
  304.                 .getSigAlgName());  
  305.         signature.initVerify(publicKey);  
  306.         signature.update(data);  
  307.   
  308.         return signature.verify(sign);  
  309.   
  310.     }  
  311.   
  312.     /** 
  313.      * 验证Certificate 
  314.      *  
  315.      * @param keyStorePath 
  316.      * @param keyStorePassword 
  317.      * @param alias 
  318.      * @return 
  319.      */  
  320.     public static boolean verifyCertificate(Date date, String keyStorePath,  
  321.             String keyStorePassword, String alias) {  
  322.         boolean status = true;  
  323.         try {  
  324.             Certificate certificate = getCertificate(keyStorePath,  
  325.                     keyStorePassword, alias);  
  326.             status = verifyCertificate(date, certificate);  
  327.         } catch (Exception e) {  
  328.             status = false;  
  329.         }  
  330.         return status;  
  331.     }  
  332.   
  333.     /** 
  334.      * 验证Certificate 
  335.      *  
  336.      * @param keyStorePath 
  337.      * @param keyStorePassword 
  338.      * @param alias 
  339.      * @return 
  340.      */  
  341.     public static boolean verifyCertificate(String keyStorePath,  
  342.             String keyStorePassword, String alias) {  
  343.         return verifyCertificate(new Date(), keyStorePath, keyStorePassword,  
  344.                 alias);  
  345.     }  
  346. }  

相信上述代码已经帮朋友们解决了相当多的问题! 
给出测试类: 
Java代码  收藏代码
  1. import static org.junit.Assert.*;  
  2.   
  3. import java.util.Date;  
  4.   
  5. import org.apache.commons.codec.binary.Hex;  
  6. import org.junit.Test;  
  7.   
  8. /** 
  9.  * 证书操作验证类 
  10.  *  
  11.  * @author <a href="mailto:zlex.dongliang@gmail.com">梁栋</a> 
  12.  * @version 1.0 
  13.  * @since 1.0 
  14.  */  
  15. public class CertificateCoderTest {  
  16.     private String certificatePath = "zlex.crt";  
  17.     private String keyStorePath = "zlex.keystore";  
  18.     private String keyStorePassword = "123456";  
  19.     private String aliasPassword = "123456";  
  20.     private String alias = "1";  
  21.   
  22.     @Test  
  23.     public void test() throws Exception {  
  24.         System.err.println("公钥加密——私钥解密");  
  25.         String inputStr = "Ceritifcate";  
  26.         byte[] data = inputStr.getBytes();  
  27.   
  28.         byte[] encrypt = CertificateCoder.encryptByPublicKey(data,  
  29.                 certificatePath);  
  30.   
  31.         byte[] decrypt = CertificateCoder.decryptByPrivateKey(encrypt,  
  32.                 keyStorePath, alias, keyStorePassword, aliasPassword);  
  33.         String outputStr = new String(decrypt);  
  34.   
  35.         System.err.println("加密前: " + inputStr + "\n\r" + "解密后: " + outputStr);  
  36.   
  37.         // 验证数据一致  
  38.         assertArrayEquals(data, decrypt);  
  39.   
  40.         // 验证证书有效  
  41.         assertTrue(CertificateCoder.verifyCertificate(certificatePath));  
  42.   
  43.     }  
  44.   
  45.     @Test  
  46.     public void testSign() throws Exception {  
  47.         System.err.println("私钥加密——公钥解密");  
  48.   
  49.         String inputStr = "sign";  
  50.         byte[] data = inputStr.getBytes();  
  51.   
  52.         byte[] encodedData = CertificateCoder.encryptByPrivateKey(data,  
  53.                 keyStorePath, keyStorePassword, alias, aliasPassword);  
  54.   
  55.         byte[] decodedData = CertificateCoder.decryptByPublicKey(encodedData,  
  56.                 certificatePath);  
  57.   
  58.         String outputStr = new String(decodedData);  
  59.         System.err.println("加密前: " + inputStr + "\n\r" + "解密后: " + outputStr);  
  60.         assertEquals(inputStr, outputStr);  
  61.   
  62.         System.err.println("私钥签名——公钥验证签名");  
  63.         // 产生签名  
  64.         byte[] sign = CertificateCoder.sign(encodedData, keyStorePath, alias,  
  65.                 keyStorePassword, aliasPassword);  
  66.         System.err.println("签名:\r" + Hex.encodeHexString(sign));  
  67.   
  68.         // 验证签名  
  69.         boolean status = CertificateCoder.verify(encodedData, sign,  
  70.                 certificatePath);  
  71.         System.err.println("状态:\r" + status);  
  72.         assertTrue(status);  
  73.     }  
  74.   
  75.     @Test  
  76.     public void testVerify() throws Exception {  
  77.         System.err.println("密钥库证书有效期验证");  
  78.         boolean status = CertificateCoder.verifyCertificate(new Date(),  
  79.                 keyStorePath, keyStorePassword, alias);  
  80.         System.err.println("证书状态:\r" + status);  
  81.         assertTrue(status);  
  82.     }  
  83. }  

第一个测试方法,用于提取公钥/私钥进行加密/解密操作。 
第二个测试方法,用于提取签名算法进行签名/验证操作。 
第三个测试方法,用于测试密钥库该别名对应的证书,当前日期下,是否有效。 
 


OK,任务完成,密钥成功提取,剩下的都是代码基本功了! 


相关链接: 
Java加密技术(一)——BASE64与单向加密算法MD5&SHA&MAC 
Java加密技术(二)——对称加密DES&AES 
Java加密技术(三)——PBE算法 
Java加密技术(四)——非对称加密算法RSA 
Java加密技术(五)——非对称加密算法的由来 
Java加密技术(六)——数字签名算法DSA 
Java加密技术(七)——非对称加密算法最高ECC 
Java加密技术(八)——数字证书 
Java加密技术(九)——初探SSL 
Java加密技术(十)——单向认证 
Java加密技术(十一)——双向认证 
Java加密技术(十二)——*.PFX(*.p12)&个人信息交换文件 
17 
2 
分享到:  
评论
13 楼 qq_16225843 2016-04-28   引用
太牛了 大神    
12 楼 jpiverson 2014-10-11   引用
梁老师,你好,最近在做一个https接口的客户端,使用java,对方服务器给我提供了一个pfx的文件,然后提供了一个https://xxx.com的接口地址。我想请问下,我应该如何开始,能否提供一个方向。我在网上找了很多资料还没没有明白,包括也买了您的书,正在拜读中。。。希望您提供一个方向,万分感谢。
11 楼 snowolf 2014-01-07   引用
javagongzi 写道
梁老师,一点建议哈,《java加密与解密的艺术》书里面:11.4 双向认证服务,关于keystoreFile="conf/server.p12" 的配置,开始一直想不明白,为什么把一个数字证书直接配置成了密钥库(密钥库应该=私钥+数字证书),后来花了很长的时间才弄清楚,PKCS#12文件(通常为*.p12或*.pfx,意味个人信息交换文件)包含了私钥,可以直接当做密钥库。下一版书里是否可以加一点关于PKCS#12文件的解释,就像这篇blog,这样读者就不会疑惑了。个人一点小建议哈。

第二版已出,你可以看下是否符合你的需要。整理的过程中,应该做了调整。
10 楼 javagongzi 2014-01-02   引用
梁老师,一点建议哈,《java加密与解密的艺术》书里面:11.4 双向认证服务,关于keystoreFile="conf/server.p12" 的配置,开始一直想不明白,为什么把一个数字证书直接配置成了密钥库(密钥库应该=私钥+数字证书),后来花了很长的时间才弄清楚,PKCS#12文件(通常为*.p12或*.pfx,意味个人信息交换文件)包含了私钥,可以直接当做密钥库。下一版书里是否可以加一点关于PKCS#12文件的解释,就像这篇blog,这样读者就不会疑惑了。个人一点小建议哈。
9 楼 javalxx 2013-05-10   引用
根据pfx产生私钥,程序报java.security.UnrecoverableKeyException: Cannot recover key
请问如何解决?
8 楼 foxblue_hg 2012-10-25   引用
基本常用的功能都有了。谢谢分享。
7 楼 cloudfile 2012-07-10   引用
snowolf 写道
由于我在做pfx,keystore时,使用的密码都是一样的,所以有部分代码可能存在问题,现已更正,请测试反馈问题。


snowolf 写道
由于我在做pfx,keystore时,使用的密码都是一样的,所以有部分代码可能存在问题,现已更正,请测试反馈问题。


     测试通过,谢谢!
6 楼 snowolf 2012-07-09   引用
由于我在做pfx,keystore时,使用的密码都是一样的,所以有部分代码可能存在问题,现已更正,请测试反馈问题。
5 楼 jiao_zg22 2012-05-02   引用
将jks转换为pfx时修改密码,为什么会出现“发生一个内部错误。您正在导入的私钥需要一个加密服务程序,但您的系统上没有安装提供程序”呢? 
不转的时候可以导入成功
4 楼 沙舟狼客 2011-12-08   引用
不知道lz尝试着实现一个spi没,比如如何把国密的SM2密钥放进KeyStore
3 楼 snowolf 2010-11-18   引用
maybe723 写道
那对于单个cer格式的证书,这种证书没有私钥而只有公钥和CA的签名吧,这种证书在双向认证中,服务器端是不能认别出对方的身份并做签名的吧,而做签名要使用私钥,那这个私钥是保存在哪里?

cer证书文件本身就是算法以及公钥的载体,而私钥就需要私密保存,不对外公布了!
2 楼 maybe723 2010-11-17   引用
那对于单个cer格式的证书,这种证书没有私钥而只有公钥和CA的签名吧,这种证书在双向认证中,服务器端是不能认别出对方的身份并做签名的吧,而做签名要使用私钥,那这个私钥是保存在哪里?
1 楼 wukele 2010-08-12   引用
相信以后会用到。
阅读更多
文章标签: Security
个人分类: Java/Security
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

不良信息举报

Java加密技术(十二)——*.PFX(*.p12)&个人信息交换文件

最多只允许输入30个字

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭