java验证openssl生成的ssl证书和私钥是否匹配

最新推荐文章于 2022-05-31 13:45:44 发布
最新推荐文章于 2022-05-31 13:45:44 发布
阅读量1.4k 收藏 5
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/yinliang/p/10115519.html
版权
本文介绍如何在Java中验证由OpenSSL生成的SSL证书与私钥是否匹配。通过读取证书的公钥和私钥,使用公钥加密测试字符串,然后用私钥解密,若能还原原始字符串,表明证书与私钥匹配。文章涉及PEM格式转换、Bouncyycastle库的使用,并提供完整代码和相关资源。
摘要由CSDN通过智能技术生成

      最近有一个需求上传ssl证书和私钥,但是上传之前需要验证ssl证书和私钥是否正确,其中的业务逻辑涉及到以下几点:

一、读取ssl证书,读取ssl证书公钥

      要实现该功能比较简单,java里面有现成的api支持。     

证书格式:

 

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

 

相关代码:

 

/**
     * 从证书文件获取公钥
     *
     * @param file
     * @return
     * @throws CertificateException
     * @throws FileNotFoundException
     */
    public static PublicKey getPublicKeyFromCert(File file) {
        try {
            CertificateFactory cf = CertificateFactory.getInstance("X.509");
            FileInputStream in = new FileInputStream(file);
            Certificate crt = cf.generateCertificate(in);
            PublicKey publicKey = crt.getPublicKey();
            return publicKey;
        } catch (CertificateException e) {
            logger.error("read public key fail,the reason is :"+e.getMessage());
            e.printStackTrace();
        } catch (FileNotFoundException e) {
            logger.error("read public key fail,the reason is the file not exist");
            e.printStackTrace();

        }
        return null;
    }

二、读取ssl证书私钥

      该功能实现有点困难,网上方法五花八门,需要对openssl生成私钥的格式和原理比较了解,openssl生成的RSA密钥默认是PEM格式,java包默认只支持DER格式,不能直接读取PEM格式文件,说了那么多,实际上PEM格式只是多了页面页脚,由于涉及到的知识点很多,网上资料很多,这里不在详细解释,我们只需要将页面页脚去掉然后进行base64位解码就可以正常读取了,推荐用第三方包Bouncycastle里面的pemReader工具类读取。

私钥格式:

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

相关代码:

 
  
/**
 * 利用开源的工具类解析openssl私钥,openssl私钥文件格式为pem,需要去除页眉页脚后才能被java读取
 *
 * @param file
 * @return
 */
public static PrivateKey getPrivateKey(File file) {
   
    if (file == null) {
   
        return null;
    }
    PrivateKey privKey = null;
    PemReader pemReader = null;
    try {
   
        pemReader = new PemReader(new FileReader(file));
        PemObject pemObject = pemReader.readPemObject();
        byte[] pemContent = pemObject.getContent();
        //支持从PKCS#1或PKCS#8 格式的私钥文件中提取私钥
        if (pemObject.getType().endsWith("RSA PRIVATE KEY")) {
   
           // 取得私钥  for PKCS#1
           RSAPrivateKey asn1PrivKey = RSAPrivateKey.getInstance(pemContent);
           RSAPrivateKeySpec rsaPrivKeySpec = new RSAPrivateKeySpec(asn1PrivKey.getModulus(), asn1PrivKey.getPrivateExponent());  
           KeyFactory keyFactory= KeyFactory.getInstance("RSA");
           privKey= keyFactory.generatePrivate(rsaPrivKeySpec); 
        } else if (pemObject.getType().endsWith("PRIVATE KEY")) {
   
            //取得私钥 for PKCS#8
            PKCS8EncodedKeySpec privKeySpec = new PKCS8EncodedKeySpec(pemContent);
             KeyFactory kf = KeyFactory.getInstance("RSA");
             privKey = kf.generatePrivate(privKeySpec);                
        }           
    } catch (FileNotFoundException e) {
   
        logger.error("read private key fail,the reason is the file not exist");
        e.printStackTrace();
    } catch (IOException e) {
   
        logger.error("read private key fail,the reason is :"+e.getMessage());
        e.printStackTrace();
    } catch (NoSuchAlgorithmException e) {
   
        logger.error("read private key fail,the reason is :"+e.getMessage());
        e.printStackTrace();
    } catch (InvalidKeySpecException e) {
   
        logger.error("read private key fail,the reason is :"+e.getMessage());
        e.printStackTrace();
    }  finally {
   
        try {
   
            if (pemReader != null) {
   
                pemReader.close();
            }
        } catch (IOException e) {
   
            e.printStackTrace();
        }
    }
    return privKey;
}
 
 
 
 
三、ssl证书公钥和私钥是否匹配
 
 
      读取证书公钥和私钥后,将测试的字符串经过证书公钥加密后,再根据证书私钥解密后能后还原,说明上传的证书和私钥是正确的。
 
 
 
  
 /**
     * 加密
     *
     * @param key
     * @param plainBytes
     * @return
     */
    public static byte[] encrypt(PublicKey key, byte[] plainBytes) {

        ByteArrayOutputStream out = null;
        try {
            Cipher cipher = Cipher.getInstance(CIPHER_

 



                

        

        




    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  weixin_30871293
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    5
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
验证密钥证书是否匹配

				
			

			

				

					cyberspecter的专栏
				

				

					04-23
					
					6209
					
				

			

		

		

			
				
[译]Certificate Key Matcher
你可以使用 Certificate Key Matcher 来检验一个密钥是否证书匹配证书是否证书签名请求(CSR)匹配。当你处理很多不同的证书时,很容易忘记哪个证书与哪个密钥匹配或哪个CSR被用来生成哪个证书。Certificate Key Matcher 工具 可以轻松决定私钥是否匹配 或CSR与证书匹配。
Certificate K...

			
		

	



                

              
                



	

		

			

				
					
openssl验证

				
			

			

				

					m0_46665077的博客
				

				

					04-22
					
					4691
					
				

			

		

		

			
				
openssl验证书到期时间
openssl验证文件(crt/cer文件)与密钥文件(key文件)是否匹配

			
		

	



                


  
              

                


	

		

			

				
					
使用openssl生成验证Java签名内容

				
			

			

				

					adrninistrat0r的博客
				

				

					02-29
					
					1496
					
				

			

		

		

			
				
1.前言

在与合作方进行通信时,为了保证数据完整性,通常会使用数字签名。

有时由于合作方的理解不一致,或使用方法不正确,可能导致合作方生成签名或验证签名时失败。

在遇到以上情况时,通常比较难快速定位问题,可以使用openssl对签名进行检查,确认导致验证签名失败的具体原因。

以下需要使用keytool与openssl命令,可查看https://docs.oracle.com/javas...

			
		

	





	

		

			

				
					
java 处理ssl验证

				
			

			

				

					beinlife的博客
				

				

					03-28
					
					1530
					
				

			

		

		

			
				
java https 处理ssl验证

			
		

	



		

			
		



	

		

			

				
					
验证私钥匹配证书

				
			

			

				

					jason的专栏
				

				

					05-31
					
					784
					
				

			

		

		

			
				
1. 验证私钥一致性

openssl rsa -check -noout -in myserver.key
RSA Key is ok

2. 验证证书私钥有相同的modulus

openssl x509 -modulus -noout -in myserver.crt | openssl md5

openssl rsa -modulus -noout -in myserver.key | openssl md5


			
		

	





	

		

			

				
					
Java如何基于command调用openssl生成私钥证书

				
			

			

				

					08-18
				

			

		

		

			
				
通过使用Java调用openssl,我们可以在Java程序中生成私钥证书,从而实现数据加密、身份验证等功能。此外,使用Java调用openssl也可以简化私钥证书生成过程,提高开发效率。  Java如何基于command调用openssl生成...

			
		

	





	

		

			

				
					
OpenSSL生成ssl证书

				
			

			

				

					01-11
				

			

		

		

			
				
2. **生成密钥对**:使用OpenSSL生成私钥文件,通常命名为`private.key`。运行以下命令:  ```  openssl genrsa -out private.key 2048  ```  这将生成一个2048位的RSA私钥。  3. **生成证书签名请求(CSR)**:接着,...

			
		

	





	

		

			

				
					
certi:生成自己的SSL证书私钥

				
			

			

				

					04-23
				

			

		

		

			
				
SSL证书通常由权威的证书颁发机构(CA)签发,但有时出于测试或学习目的,我们可能需要生成自己的SSL证书私钥。本文将详细介绍如何生成自签名的SSL证书私钥。  首先,我们需要了解SSL证书的基本组成。一个SSL...

			
		

	





	

		

			

				
					
使用openssl生成单向ssl证书

				
			

			

				

					04-04
				

			

		

		

			
				
 生成私钥** 首先,我们需要生成一个私钥文件。这将用于签署我们的SSL证书。打开终端或命令行,运行以下命令: ``` openssl genrsa -out server.key 2048 ``` 这里我们生成了一个2048位的RSA私钥,并保存为`server....

			
		

	





	

		

			

				
					
使用java生成证书及其openssl获取公私钥

				
			

			

				

					01-07
				

			

		

		

			
				
使用java生成证书及其openssl获取公私钥 使用java生成yangjie.jks证书, 即生成私钥密码对 keytool -genkeypair -alias yangjie -keyalg RSA -keypass yangjie -keystore yangjie.jks -storepass yangjie  keytool...

			
		

	





	

		

			

				
					
java使用bountycastle验证rsa公钥和证书,使用bountycastle处理pem格式密钥

				
			

			

				

					qq_43598865的博客
				

				

					10-11
					
					1650
					
				

			

		

		

			
				
java验证公钥和证书
介绍一下编码格式
本节主要介绍密钥证书中常见的编码规则 DER和由 DER 衍生出的密钥文件格式 PEM。
DER (Distinguished Encoding Rules)DER (Distinguished Encoding Rules)
DER 是用二进制DER编码的证书,DER格式常见于java语言
PEM格式是在DER格式的基础上采用base64编码得到,PEM is Base64-encoded DER。PEM格式是采用openssl生成密钥证书的格式。
下面是经典

			
		

	





	

		

			

				
					
java https证书验证码_java 请求https接口 证书验证

				
			

			

				

					weixin_31681589的博客
				

				

					02-13
					
					695
					
				

			

		

		

			
				
java ssl 证书验证有两种方式:1是将证书导入到java安全证书库中;2是将证书通过keytool导出一个密钥文件,然后通过代码加载该文件进行验证。第1种方式导入证书后,请求https时就直接报错:javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No subject alternati...

			
		

	





	

		

			

				
					
java证书验证,Java中的SSL证书验证

				
			

			

				

					weixin_29268331的博客
				

				

					02-17
					
					657
					
				

			

		

		

			
				
Say I have two Java apps that I wrote: Ping.jar and Pong.jar and they get deployed and ran on two separate servers (Ping.jar deploys to srv-01.myorg.com and Pong.jar deploys to srv-02.myorg.com), and ...

			
		

	





	

		

			

				
					
使用java进行SSL证书的签名与签验

				
			

			

				

					a_c_c_a的专栏
				

				

					01-11
					
					4448
					
				

			

		

		

			
				
一、签名与签验的含义
签名:客户端使用私钥对字符串加密,得到一个加密后的字符串
签验(签名验证):服务端使用公钥对字符串加密,验证加密后的字符串是否和客户端签名后一样
二、创建私钥证书文件
在linux中执行一下命令,生成所需的各个文件

1.手动生成私钥pri.key
openssl genrsa -des3 -passout pass:123456 -out pri.key 2048

2.生成pkcs8
openssl pkcs8 -topk8 -in pri.key...

			
		

	





	

		

			

				
					
Java RSA公钥私钥加密工具类

				
			

			

				

					m178643的博客
				

				

					10-11
					
					743
					
				

			

		

		

			
				
public class RSAEncrypt {
	private static Map<Integer, String> keyMap = new HashMap<>();  //用于封装随机产生的公钥与私钥

	/** 
	 * RSA公钥加密 
	 *  
	 * @param str 
	 *            加密字符串
	 * @param publicK...

			
		

	





	

		

			

				
					
软实现非对称加解密,公钥证书与公钥值区别,包含提取公约值代码

				
			

			

				

					BD的笔记
				

				

					11-17
					
					1235
					
				

			

		

		

			
				
目前有部分未采购签名验签服务器的企业,采用软实现做非对称、对称加解密,本文简略说明一下工作过程中遇到的问题。
本交易涉及发送方,接收方
问题背景:
对方即接收方采用的是软实现,并且只提供了公钥值(未经CA签发)
我方即发送方,采用的是硬件签名验签服务。服务器中存有我方的私钥,以及加密公钥;对方提供的是公钥值,无法导入到签名验签服务器(会验根证书)
需求
对传输的json串进行签名。
问题:对方无法...

			
		

	





	

		

			

				
					
Linux openssl 生成证书的详解

					
热门推荐

				
			

			

				

					叶梦
				

				

					08-28
					
					6万+
					
				

			

		

		

			
				
目录

前言

1 概念

2 环境

3 创建根证书CA

4 颁发证书

4.1 在需要证书的服务器上,生成证书签署请求

4.2 在根证书服务器上,颁发证书

5 测试

5.1 读取test.pfx文件

5.2 读取test.cer文件

前言

最近,被分配了一个任务,完成数字证书管理系统的开发,一开始我是一脸懵逼的,因为以前我对于什么数字证书都没了解过,可谓了一片空白,也不知其是用来...

			
		

	





	

		

			

				
					
验证公钥证书是否和秘钥匹配

				
			

			

				

					冰冻三尺非一日之寒
				

				

					04-17
					
					3258
					
				

			

		

		

			
				
验证公钥证书是否和秘钥匹配验证脚本#!/bin/sh
if [[ "$1" = "" || "$2" = "" ]]; then
	echo "certCheck.sh  certfile keyfile"  
	exit 0;
else
	#certModuleMd5=`openssl x509 -noout -modulus -in $1 | openssl md5`
	#privateMod...

			
		

	





	

		

			

				
					
在 Docker Registry 服务器上生成 SSL 证书私钥。可以使用 OpenSSL 工具生成自签名证书,或者使用 CA 颁发的证书。假设生成证书私钥分别为 registry.crt 和 registry.key。具体怎么做

					
最新发布

				
			

			

				

					06-03
				

			

		

		

			
				
好的,以下是在 Docker Registry 服务器上生成 SSL 证书私钥的步骤:

1. 首先,确保 OpenSSL 已安装在 Docker Registry 服务器上。如果没有安装,可以使用以下命令在 Ubuntu 上安装:

```
sudo apt-get update
sudo apt-get install openssl
```

2. 执行以下命令来生成一个私钥:

```
openssl genrsa -out registry.key 2048
```

这将生成一个 2048 位的 RSA 私钥,并将其存储在名为 registry.key 的文件中。

3. 执行以下命令来生成一个证书签名请求 (CSR):

```
openssl req -new -key registry.key -out registry.csr
```

在执行此命令时,你将被要求提供一些信息,例如组织名称、国家/地区等。这些信息将在证书中显示。

4. 如果你使用自签名证书,请执行以下命令来生成自签名证书:

```
openssl x509 -req -days 365 -in registry.csr -signkey registry.key -out registry.crt
```

此命令将使用 CSR 和私钥生成一个自签名证书,并将其存储在名为 registry.crt 的文件中。在此示例中,证书的有效期为 365 天。

如果你使用 CA 颁发的证书,请使用相应的命令将证书复制到 Docker Registry 服务器上,并将其命名为 registry.crt。

现在,你已经成功地生成SSL 证书私钥,并可以在 Docker Registry 服务器上使用它们来进行加密通信。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值