keystore java_Java / Keystore验证签名证书

最新推荐文章于 2021-04-02 18:17:57 发布
最新推荐文章于 2021-04-02 18:17:57 发布
阅读量356 收藏
点赞数
文章标签: keystore java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28825959/article/details/114318550
版权
这篇博客探讨了在Java中使用keystore验证客户端证书的方法,特别是针对嵌入式码头服务器和客户端之间的SSL连接。作者通过代码示例展示了如何使用PKIXBuilderParameters进行证书路径构建和验证,并遇到了证书验证失败的问题,可能是由于密钥库配置或撤销检查导致的。
摘要由CSDN通过智能技术生成

我正在研究嵌入式码头服务器和客户端之间的客户端证书身份验证.他们都使用密钥库.客户端证书由服务器的证书签名,该证书由CA签名. Jetty使用2方法来验证客户端证书,

javax.net.ssl.SSLEngine似乎工作,他们也使用上面的代码.

List certList = Certificate chain sent by the client

KeyStore truststore = server's truststore

//No use of CRL/OSCP/CRLDP

_crls = null;

_enableOCSP = false;

_enableCRLDP = false;

try{

X509CertSelector certSelect = new X509CertSelector();

certSelect.setCertificate((X509Certificate) certList.get(0));

// Configure certification path builder parameters

PKIXBuilderParameters pbParams = new PKIXBuilderParameters(truststore, certSelect);

pbParams.addCertStore(CertStore.getInstance("Collection", new CollectionCertStoreParameters(certList)));

// Set maximum certification path length

pbParams.setMaxPathLength(-1);

// Enable revocation checking

pbParams.setRevocationEnabled(true);

// Set static Certificate Revocation List

if (_crls != null && !_crls.isEmpty())

pbParams.addCertStore(CertStore.getInstance("Collection", new CollectionCertStoreParameters(_crls)));

// Enable On-Line Certificate Status Protocol (OCSP) support

if (_enableOCSP)

Security.setProperty("ocsp.enable","true");

// Enable Certificate Revocation List Distribution Points (CRLDP) support

if (_enableCRLDP)

System.setProperty("com.sun.security.enableCRLDP","true");

// Build certification path

CertPathBuilderResult buildResult = CertPathBuilder.getInstance("PKIX").build(pbParams);

// Validate certification path

CertPathValidator.getInstance("PKIX").validate(buildResult.getCertPath(),pbParams);

}catch(GeneralSecurityException gse){

...

}

当然我必须使用第二种方式……

那么让我们专注于这个代码,这是验证签名证书的好方法吗?

这是我的密钥库的转储:

客户端密钥库:

Entry type: PrivateKeyEntry

Certificate chain length: 2

Certificate[1]:

Owner: EMAILADDRESS=truc@ok.com, CN=Servlet, OU=dev, O=Imbasoft, ST=Ile-de-France, C=FR

Issuer: EMAILADDRESS=contact@greenpacs.com, CN=Greenpacs, OU=dev, O=Imbasoft, L=Bondy, ST=Ile-de-France, C=FR

...

Certificate[2]:

Owner: EMAILADDRESS=contact@greenpacs.com, CN=Greenpacs, OU=dev, O=Imbasoft, L=Bondy, ST=Ile-de-France, C=FR

Issuer: EMAILADDRESS=ghetolay@imbasoft.com, CN=Greenpacs Certificate Authority, OU=dev, O=Imbasoft, ST=Ile-de-France, C=FR

...

服务器信任库:

Entry type: trustedCertEntry

Owner: EMAILADDRESS=contact@greenpacs.com, CN=Greenpacs, OU=dev, O=Imbasoft, L=Bondy, ST=Ile-de-France, C=FR

Issuer: EMAILADDRESS=ghetolay@imbasoft.com, CN=Greenpacs Certificate Authority, OU=dev, O=Imbasoft, ST=Ile-de-France, C=FR

我不确定这些密钥库,但我尝试使用不同的密钥库(将CA证书添加到客户端的证书链,将证书添加到信任库),验证仍然失败.使用这些密钥库,第一种验证方法(SSLEngine)似乎有效.

调试输出太大,无法放在这里,但这里是stacktrace:

java.security.cert.CertPathValidatorException: Could not determine revocation status

at sun.security.provider.certpath.PKIXMasterCertPathValidator.validate(PKIXMasterCertPathValidator.java:153)

at sun.security.provider.certpath.PKIXCertPathValidator.doValidate(PKIXCertPathValidator.java:325)

at sun.security.provider.certpath.PKIXCertPathValidator.engineValidate(PKIXCertPathValidator.java:187)

at java.security.cert.CertPathValidator.validate(CertPathValidator.java:267)

at MainClass.main(MainClass.java:75)

Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:197)

at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:255)

at sun.security.provider.certpath.CrlRevocationChecker.buildToNewKey(CrlRevocationChecker.java:583)

at sun.security.provider.certpath.CrlRevocationChecker.verifyWithSeparateSigningKey(CrlRevocationChecker.java:459)

at sun.security.provider.certpath.CrlRevocationChecker.verifyRevocationStatus(CrlRevocationChecker.java:339)

at sun.security.provider.certpath.CrlRevocationChecker.verifyRevocationStatus(CrlRevocationChecker.java:248)

at sun.security.provider.certpath.CrlRevocationChecker.check(CrlRevocationChecker.java:189)

at sun.security.provider.certpath.PKIXMasterCertPathValidator.validate(PKIXMasterCertPathValidator.java:131)

... 4 more

如果我禁用撤销或者如果我将最后一个证书(而不是第一个)设置为X509CertSelector代码工作但我不确定我在做什么.

我开始怀疑码头代码,但我不是证书和SSL握手方面的专家,所以它也可能来自糟糕的密钥库/信任库.这就是为什么我没有在码头上创建问题并在此之前询问,以确保代码需要更改.

此外,了解如何在Java中验证签名证书可能很有用.

朱炫
关注
x509 java_Java X509证书解析和验证
weixin_35725147的博客
02-15 2132
我试图通过几个步骤处理X509证书,并遇到几个问题.我是新来的JCE,所以我不完全是最新的一切.我们希望能够根据不同的编码(PEM,DER和PCKS7)来解析几个不同的X509证书.我使用FireFox(证书包括链)从PEC和PCKS7格式从https://belgium.be导出了相同的证书.我已经离开了几条线,这些问题不是必需的public List parse(FileInputStream...
获取 Andriod keystore签名证书文件,用于打包APP应用
我驾驶汽车从不是为了从A点到达B点,我喜欢去感受汽车,与之交流,与之融为一体。
04-01 9165
每个安卓APP,都要签名证书才能安装在手机上,测试的应用有测试的签名证书,生产环境有生产环境的签名证书,在开发APP之前,我们首先生成一个用于该APP的签名证书,用于测试调试应用,像微信支付、分享、地图,这些等等都需要用到生产环境的签名证书。 生成 Android签名文件,目前有两种一种是eclipse开发工具生成的后缀名.keystore签名文件,一种是Andro...
java list keystore_常用的Java Keytool Keystore命令
weixin_42628688的博客
02-24 469
-genkey 在用户主目录-genkey 在用户主目录中创建一个默认文件”.keystore”,还会产生一个mykey的别名,mykey中包含用户的公钥、私钥和证书(在没有指定生成位置的情况下,keystore会存在用户系统默认目录)-alias 产生别名 每个keystore都关联这一个独一无二的alias,这个alias通常不区分大小写-keystore 指定密钥库的名称(产生的各类信息将不...
Java Store_java keystore
weixin_33514864的博客
02-12 354
JAVA有一个keystore用来存放私钥和证书,该文件是伴随JDK默认存在的,路径默认是/lib/security/cacerts,默认密码是changeit,实际上空密码也可以直接访问其中cacerts就是上面说的keystore我们使用命令keytool -list -rfc -keystore cacerts来列出其中的内容-list -rfc 这些参数的意思可以参考下图在乐山的时候,我们...
keystore生成证书实例
Connie1451的博客
07-16 1144
关于keystore的简单介绍 Keytool是一个Java数据证书的管理工具 ,Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中。 在keystore里,包含两种数据: 1. 密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密) 2. 可信任的证书实体(trusted certificate entries)——只包含公钥 1.生成keystore文件 .keystore文件可以在win...
安装jenkins,在日志中报错 PKIX path validation failed
weixin_31110655的博客
05-04 1459
报错: WARNING hudson.model.UpdateCenter#updateDefaultSite: Upgrading Jenkins. Failed to update the default Update Site ‘default’. Plugin upgrades may fail. java.security.cert.CertificateNotYetValidExcep...
java keytool jks_jdk的keytool生成jks和获取jks的信息,公匙
weixin_31592801的博客
02-13 562
1.生成jks。执行命令:keytool -genkeypair -alias mytest -keyalgRSA -keypass mypass -keystore mytest.jks -storepass mypass -keystore jks文件保存路径生成的mytest.jks证书中包含我们的密钥 :公钥和私钥。2.利用"keytool -list -v -keystore test...
数字签名、数字证书分析与Java实现.rar_java 签名 证书_数字签名 rsa_证书_证书解密_证书验证
最新发布
09-23
证书验证”是检查证书的完整性和有效性,包括验证签名、确认证书链、检查是否过期等。Java的CertificateFactory和TrustManager接口可以用于这个过程。 综上所述,数字签名和数字证书是保障网络通信安全的关键技术...
Certificate_java_java数字签名_java签名证书_数字证书_
10-04
这确保了只有拥有私钥的人才能创建有效的签名,而任何人都可以使用公钥来验证签名。 在Java中处理这些概念时,你需要了解以下关键知识点: 1. **密钥对生成**:使用`java.security.KeyPairGenerator`生成公钥和...
Java加密和数字签名编程快速入门.rar_Java加密_java 数字 签名_java 数字签名_数字 签名_数字签名
09-22
4. **证书证书链**:讨论X.509证书的概念,以及如何使用KeyStore类管理和操作证书,确保公钥的安全。 5. **示例代码**:提供实际的Java代码示例,演示如何进行加密和数字签名的操作,帮助读者更好地理解和应用。 ...
Android反编译工具包(aapt adb apktool dex2jar KeystoreVerify jd-jui等等)
05-25
Android反编译工具包(aapt adb apktool dex2jar KeystoreVerify jd-jui等等)
JAVA-digital-signature.zip_java 数字签名_数字签名
09-23
在实际应用中,我们还需要考虑证书证书链,它们通常存储在Java Keystore(JKS)或Truststore中。证书包含了公钥和发布者的身份信息,而证书链则用来验证证书的合法性。JavaKeyStore类可以用来管理和操作这些证书...
解决 eclipse移植androidstudio Could not determine 的问题
c553110519的专栏
05-27 5847
解决 eclipse移植androidstudio Could not determine 的问题 因为帮朋友移植eclipse工程到android studio上开发,按照教程先在eclipse 导出android 的工程,然后再android studio导入这个工程结果出现下边错误 Could not determine the class-path for inte
常用的Java Keytool Keystore命令
gmHappy
04-20 5970
Java keytool是密钥和证书管理工具。它使用户能够管理自己的公钥/私钥对及相关证书,用于(通过数字签名)自我认证(用户向别的用户/服务认证自己)或数据完整性以及认证服务。它还允许用户储存他们的通信对等者的公钥(以证书形式)。一. Keytool创建和导入命令创建keystore和密钥对Generate a Java keystore and key pairkeytool -genkey ...
java.security.cert.CertPathValidatorException: timestamp check failed
热门推荐
mm_bit的博客
04-21 1万+
用maven编译Apache Ranger源码时,遇到错误如下: Plugin org.apache.maven.plugins:maven-remote-resources-plugin:1.5 or one of its dependencies could not be resolved: Failed to read artifact descriptor for org.apach
我是如何解决java.security.cert.CertPathValidatorException异常的
weixin_30306905的博客
03-02 1万+
目录 问题来了 问题分析 解决问题 重新安装服务器端证书 日志带来曙光 刨根到底 总结 附录 tomcat的SSL配置 服务器端证书配置 Keytool命令常...
https 证书过期问题排查
LZN的博客
04-02 7339
一、问题描述 在服务协议由 http 迁移至 https 时,我发现线上环境报错 javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.CertPathValidatorException: timestamp check failed Caused by: java.security.cert.Certif
PKIX path validation failed: mestamp check failed 错误
老李的地下室
01-27 1万+
Caused by: java.lang.RuntimeException: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.CertPathValidatorException: times
Java与keytool非对称签名验证实战
- **验证**:`VerSig.java`类用于验证签名,它需要公钥、签名文件和原始数据文件作为输入。它使用公钥对签名进行验证,以确认数据未被篡改。 在实际应用中,这种签名验证机制常用于确保数据的完整性和来源的可信...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值