Certificate数字证书的有效性验证

于 2024-06-19 22:12:48 发布
阅读量980 收藏 6
点赞数 24
文章标签: 服务器 https 运维 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54533686/article/details/139812132
版权

1.证书相关概念

        在讲证书有效性验证的逻辑之前,先了解几个概念。

  1.  证书颁发机构:一般为运营数字证书的机构,该机构负责证书的签发、吊销等生命周期管理。
  2. 证书链:证书颁发机构一般会由多个组成,为树状层级,第一级的机构证书叫根证书、第二级叫二级子CA证书,多个层级的机构证书组成一个文件叫证书链(后缀为:.p7b)。
  3. 吊销列表:由证书颁发机构发布,若证书过期或因某些原因(密钥泄漏)吊销,则会将该证书添加至吊销列表。吊销列表为一个文件,包含已吊销的证书序列号(后缀为:.crl)。

2.证书相关概念

        数字证书的有效性验证分为三个步骤:

        1.验证证书的有效期,证书的有效期是一个时间短,需验证当前使用证书的时间不早于开始时间,不晚于结束时间。

        2.证书链的验证:验证证书是否由合法的机构签发的。

        2.验证证书签发机构发布的吊销列表是否包含当前证书,若包含,则当前证书已不可用,为无效证书。

3.使用场景

        一般我们在调用https的服务接口时,会做证书的有效性校验。避免证书过期或因密钥泄漏后仍在使用。造成不安全的因素。

4.代码案例

依赖的jar包坐标如下:

        <dependency>
            <groupId>org.bouncycastle</groupId>
            <artifactId>bcprov-jdk15to18</artifactId>
            <version>1.68</version>
        </dependency>

        <dependency>
            <groupId>org.bouncycastle</groupId>
            <artifactId>bcpkix-jdk15to18</artifactId>
            <version>1.68</version>
        </dependency>

以下为代码实现

    //以下静态块不能省略
    static {
        if(Security.getProvider(BouncyCastleProvider.PROVIDER_NAME) == null) {
            Security.addProvider(new BouncyCastleProvider());
        }
    }

    /**
     * 验证用户证书的有效性,包括验证有效期、证书信任列表、吊销状态等
     *
     * @param certFile       用户证书
     * @param certChainFile  证书链文件
     * @param crlFile        证书吊销列表文件
     * @throws CertificateNotYetValidException 证书未生效
     * @throws CertificateExpiredException     证书已过期
     * @throws SignatureException              证书不被信任
     * @throws IsRevokedException 证书被吊销
     */
    public static void verifyCertificate(File certFile, File certChainFile, File crlFile) throws CertificateNotYetValidException, CertificateExpiredException,IsRevokedException, CertificateEncodingException {

        X509Certificate certificate = CertFileUtil.getCertificate(certFile);
        certificate.checkValidity();

        CertPath certPath = null;
        try {
            certPath = CertFileUtil.getCertPath(certChainFile);
        } catch (CertificateException e) {
            e.printStackTrace();
            throw new CommonException("证书链读取异常,原因:"+e.getMessage());
        }catch (FileNotFoundException e){
            throw new CommonException("未找到证书链文件,原因:"+e.getMessage());
        }
        List<X509Certificate> certList = (List<X509Certificate>) certPath.getCertificates();
        boolean flag = false;
        for(X509Certificate caCert : certList) {
            if(certificate.getIssuerX500Principal().equals(caCert.getSubjectX500Principal())) {
                //使用机构证书验签用户证书
                flag = verify(caCert.getPublicKey(),certificate);
                if(flag) {
                    break;
                }
            }
        }

        if(!flag) {
            throw new CommonException("证书链验证证书签名失败");
        }
        X509CRL crlObj = CertFileUtil.getCrl(crlFile);
        if(crlObj.isRevoked(certificate)){
            X509CRLEntry crlEntry = crlObj.getRevokedCertificate(certificate);
            throw new IsRevokedException(crlEntry.getRevocationReason());
        }
    }



   private static boolean verify(PublicKey publicKey,X509Certificate certObj) {

        byte[] signValue = certObj.getSignature();
        byte[] data = null;
        try {
            data = certObj.getTBSCertificate();
        } catch (CertificateEncodingException e) {
            throw new CommonException("证书格式错误,未获取到证书内容,原因:"+e.getMessage(),e);
        }
        //获取签名算法的OID
        AlgorithmIdentifier oid = new AlgorithmIdentifier(new ASN1ObjectIdentifier(certObj.getSigAlgOID()), DERNull.INSTANCE);
        String signName = new DefaultAlgorithmNameFinder().getAlgorithmName(oid);
        return verificationSignature(publicKey.getEncoded(), signName, signValue,data);
    }


    /**
     * 数字签名验签
     * @param publicKey 公钥(PKCS8编码的私钥字节数组,可参考非对称密钥对的生成接口返回结果。)
     * @param signAlg 签名算法
     * @param signValue 签名值
     * @param data 签名值的原文
     * @return true为验签通过,表示签名者是合法的。false为验证未通过,签名者为非法。
     */
    private static boolean verificationSignature(byte[] publicKey, String signAlg, byte[] signValue,byte[] data)throws CryptoException{

        PublicKey key = null;

        if(signAlg.endsWith("RSA")) {

            key = SoftwareKeyUtil.bytesToPublicKey(publicKey, "RSA");
        }else{
            key = SoftwareKeyUtil.bytesToPublicKey(publicKey, "SM2");
        }

        Signature inSignatue = null;
        try {
            inSignatue = Signature.getInstance(signAlg, BouncyCastleProvider.PROVIDER_NAME);
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
            throw new CryptoException("未找到算法",e);
        }catch (NoSuchProviderException e){
            throw new CryptoException("未找到安全程序提供商,原因:"+e.getMessage(),e);
        }


        try {
            inSignatue.initVerify(key);
        } catch (InvalidKeyException e) {
            e.printStackTrace();
            throw new CryptoException("无效的公钥",e);
        }
        try {
            inSignatue.update(data);
        } catch (SignatureException e) {
            e.printStackTrace();
            throw new CryptoException("签名更新数据异常",e);
        }
        try {
            return inSignatue.verify(signValue);
        } catch (SignatureException e) {
            e.printStackTrace();
            throw new CryptoException("签名异常",e);
        }
    }

测试代码:以下代码只要未出现异常,则为证书有效性验证通过。

public static void main(String[] args) {
        try {
            CertificateUtil.verifyCertificate(new File("/home/zhangzz/Downloads/_.csdn.crt"),new File("/home/zhangzz/Downloads/GeoTrust CN RSA CA G1.p7c"));
            System.out.println("证书有效");
        } catch (CertificateNotYetValidException e) {
            System.out.println("证书有效期未开始,请待进入有效期后开始使用:" + e.getMessage());
        } catch (CertificateExpiredException e) {
            System.out.println("证书已过期:" + e.getMessage());
        }

    }

在数字证书里,是可以看到证书链的http下载地址及吊销列表的下载地址的。如下图:

证书链地址:已CSDN的证书为例,它的上一级就是当前证书的颁发机构证书,可以导出为证书链。

点击*.csdn.net这个证书,它的证书属性里有授权信息访问,该属性为颁发机构的信息,其中CA颁发者就是该机构的CA证书,也可以用该证书直接作为证书链去验证。

具体如何使用代码从证书里获取证书链和吊销列表文件,无需手动更新。这个问题我们下次再分解。

以上的代码可以在git中获取(若未找到代码,请切换dev分支),代码路径:com.zhangzz.crypto.utils.CertificateUtil.java

加密工具starter组件git地址

昵称无限重复
关注
  • 24
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
证书链-证书校验
大力海棠的博客
02-03 8629
先来打开一个网站的证书链看看: 它的结构是,顶端根证书DigiCert,中间证书GeoTrust RSA CA 2018,和最下级的服务器证书*.csdn.net。为什么会有中间证书?原因上一篇日志说过,由于权威的CA机构数量不多,如果所有的服务器申请证书都将CSR证书请求文件发送到CA机构,那么CA机构的工作量就会非常大,因此CA机构采取授权二级机构的方式来管理证书申请,经授权的二级机构也...
TLS握手证书链的校验
最新发布
chinamen1的博客
02-24 1041
看一遍忘一遍,还是自己写一遍,看看这次能记多久。在TLS握手过程中,通过证书校验认证服务端的身份和交换加密秘钥,握手完成之后后续就可以进行加密数据传输。在浏览器地址栏上点击锁的图标,能打开查看证书的详细信息。首先可以看到证书包含了多个层级,最下层的是我们直接访问的网站的服务证书,最上层是根证书。每个证书都属于一个机构组织。除了根证书是由根CA自己签发给自己的,其他证书都是由上一级组织用上一级的证书签发出来的,所以形成了层级结构。点开细节可以看到证书的更多信息,主要看证书包含什么信息?
证书有效性验证、根证书
hqy1719239337的博客
03-29 1万+
一、 数字证书有效性验证主要从三个方面: (1)数字证书有效期验证 (2)根证书验证 (3)CRL验证 1、数字证书有效期验证 就是说证书的使用时间要在起始时间和结束时间之内。通过解析证书很容易得到证书的有效期 2、根证书验证 先来理解一下什么是根证书? 普通的证书一般包括三部分:用户信...
记录一个证书校验的问题
coder_xia的专栏
11-20 770
突然同事找我说我们测试环境的app无法登录了,重新部署了rabbitmq也没用,怀疑是rabbitmq插件问题。 决定抓包分析,我们的认证是用rabbitmq_auth_backend_http插件,往mqtt模块发送认证请求,首先在mqtt模块抓包看是否收到http请求,抓到包,确认收到了,那插件应该是没问题的,查看包发现握手错误,不过恰好是部署在同一台服务器上看不出是谁报的证书校验错误 然...
一文详解 HTTPS 与 TLS证书链校验
赶路人儿
11-07 4248
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议,是一种通过计算机网络进行安全通信的传输协议。HTTPS利用SSL/TLS来加密数据包,经由HTTP进行通信。其设计的主要目的是,提供对网站服务器的身份认证、保护交换数据的隐私与完整性。SSL/TLS握手协商:用非对称加密的手段传递密钥,然后用密钥进行对称加密传递数据。
Python数字证书分析
07-21
通过这些工具,开发者可以对数字证书进行详细的分析,验证其真实性,确保网络通信的安全。无论是开发HTTPS服务,还是分析网络请求,了解如何使用Python处理数字证书都是十分必要的技能。在实际工作中,我们还需要...
Certificate_java_java数字签名_java签名证书_数字证书_
10-04
在Java编程环境中,数字证书数字签名是网络安全和数据完整性的重要组成部分。这些概念与Java的加密库和证书处理机制紧密相关。在这个项目中,我们似乎有一个包含Java实现数字证书数字签名功能的源码模块。 首先...
证书有效期验证源代码
09-03
在IT领域,证书有效期验证是网络安全中的一个关键环节,它涉及到服务器身份认证、数据传输安全等方面。证书,尤其是SSL/TLS证书,是互联网上保证通信安全的重要工具。这些证书包含了公钥、颁发者、有效期等信息,...
golang解析数字证书
05-20
数字证书用于验证网络通信中的身份,而私钥则用于加密和解密数据,确保信息的安全传输。本文将深入探讨如何在Golang中解析PKCS#1和PKCS#8格式的私钥,以及与数字证书相关的概念。 首先,让我们了解一些基本概念: ...
包含DER、PEM、CRL后缀的数字证书.rar
10-13
CRL文件通常以.crl为扩展名,它包含已被撤销的证书序列号,供其他系统在验证证书有效性时参考。 4. **根证书**:根证书是信任链的起点,由权威的证书颁发机构(CA)生成并签名。它们用于验证其他所有证书的合法性。...
【腾讯Bugly干货分享】iOS 中 HTTPS 证书验证浅析
腾讯Bugly的专栏
01-16 3621
本文的目的,一是简要分析下对服务器身份验证的完整握手过程,二是证书链的验证,三是探索下iOS中原生库NSURLConnection或NSURLSession如何支持实现https。
移动端HTTPS证书校验过程是怎样的
蔚可云的博客
10-09 642
写了几篇关于HTTPS证书的文章之后,让我对HTTPS证书的内容以及证书的申请下载等问题,有了一定的了解。今天在这篇里咱再了解一下关于移动端HTTPS证书校验的相关问题,HTTPS证书购买和HTTPS证书校验都是在申请下载HTTPS证书的时候要关注的问题。先说一下HTTPS,说起HTTPS应该说HTTPS是HTTP的升级版,它是在HTTP的基础上加了SSLTLS。 为什么要这样说呢,因为原来的HTTP本身存在着缺陷,归纳一下应该有三点,通信使用的明文可能被窃听,对通信方的身份不验证可能会伪装,对报文的..
cer证书签名验证
weixin_34406796的博客
08-23 501
一个cer还需要一个签名的证书本身,这是为了防止cer证书被篡改。 有两种类型的证书: 1. 根证书 2. 由根证书颁发子证书。 特根证书。它是自签名。而其它子证书的签名公钥都保存在它的上级证书里面。 能够用C#来做一些验证。 首先是根证书的签名验证。 // 验证证书签名 X509Certificate2 x509Root = new...
【5.如何验证 数字证书有效性
jy0921
09-29 4928
1. 数字证书由 CA 签发给用户,CA 保证它的安全和可靠性,使用CA的私钥对证书进行签名,使用 CA的公钥验证签名。 通过Java的代码演示,分别从 吾爱 网站下载了 它的末端证书、它的上级CA证书,以及 从 CSDN下载了 末端证书。 使用 吾爱的 上级CA 分别验证 吾爱的用户证书 和 CSDN的用户证书,查看区别。 package verify; import java....
TLS/SSL 协议详解(17) Certificate verify
Network/Storage/Linux Kernel
09-07 4085
发送这个类型的握手需要2个前提条件 (1):服务器端请求了客户端证书 (2):客户端发送了非0证书      此时,客户端想要证明自己拥有该证书,必然需要私钥签名一段数据发给服务器验证。 签名的数据是客户端发送certificate verify前,所有收到和发送的握手信息(不包括5字节的record)。其实这个流程和签名server key exchange基本一样。计算摘要,然后签
SSL证书校验到底在校验什么?
LiteHeaven的专栏
04-21 2602
https用的太多了,用https的时候,不填TrustManager,用默认代码,就可以较安全地访问经过权威ca签名的host网址,啥都不用做,安逸, 当然我们也可以加载自定义TrustManager,如下: private static OkHttpClient.Builder createBuilder(){ ProxySelectorWrapper wrapper = new ProxySelectorWrapper(ProxySelector.getDefault()
CA证书合法性验证
qq_43402663的博客
05-01 2864
https连接建立 加密的三种方式 1.对称加密:一把密钥,密钥加密,密钥解密 2.非对称加密:两把密钥,一把加密,另一把解密。公开的那个叫公钥,自己留的叫私钥 3.hash加密:通过一种算法,把大量信息压缩映射成唯一的短字符,且通过这段字符不能反解出该大量信息 三个角色 未建立前分别都有什么信息 1.client:CA机构的公钥A,内置在系统中 2.server: 从CA机构申请的证书,和该证书对应得私钥B 3.CA机构:产生证书 CA证书有什么信息 1.文件包(公钥B,hash算法,用途,颁发
https之证书验证
热门推荐
Doarcutine的专栏
12-22 2万+
1.中间人攻击对于http协议,中间人攻击(man in the middle)是一种著名的攻击方式。 图中John和Mary作为通信的双方,Frank为攻击者 1. John向Mary发送一段数据 2. Frank截获了John的包,窃取/修改数据后,伪装成John继续将包转发给Mary 3. Mary不知道Frank的存在,认为只是收到了来自John的数据,因为返回一段数据给John
网银支付的数字证书是什么
07-23
网银支付的数字证书是一种用于身份验证和数据加密的安全证书。它是由数字证书颁发机构(CA,Certificate Authority)颁发的,用于确认网银支付交易中参与方的身份,并确保交易数据的机密性和完整性。 数字证书包含以下信息: 1. 主体信息:证书持有者的名称、电子邮件地址等身份信息。 2. 公钥:用于加密和解密交易数据的公钥。 3. 有效期:证书的生效时间和过期时间。 4. 签名:数字证书颁发机构对证书进行数字签名,用于验证证书的真实性和完整性。 在网银支付过程中,商户和用户(持卡人)需要使用各自的数字证书进行身份验证和交易数据的加密。商户使用自己的数字证书对交易数据进行加密,并使用用户的数字证书验证用户的身份。用户在网银支付过程中,需要使用自己的数字证书对交易数据进行签名,并使用商户的数字证书验证商户的身份。 通过使用数字证书,网银支付可以确保支付交易的安全性和可信度,防止信息被窃取或篡改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值