通过 Java 代码生成请求 CSR证书

已于 2023-09-27 11:28:57 修改
阅读量479 收藏 1
点赞数 1
分类专栏: Java基础与框架 文章标签: java python 开发语言
于 2023-09-27 11:26:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiangzhihong8/article/details/133343586
版权

概述

在 PKI(Public Key Infrastructure,公开密钥基础建设)体系中,证书签名请求(也称为 CSR 或证书请求)是由客户端提交给 CA(Certificate Authority)用于申请数字证书的信息。其中 PKCS#10 规范是 CSR 中最常见的格式。

比如,张三和李四通过互联网进行信息传输,他们两者都希望接受到的信息就是对方发送的原始内容,没有被任何篡改,且不能被抵赖。要实现这个目的,其中一个方法就是使用 PKI。在 PKI 中,他们双方都需要生成密钥对,即公钥和私钥。公钥顾名思义就是公开的密钥,大家都可以得到,而发送的信息则使用他们各自的私钥进行加密,相应的也只有他们各自的公钥才可以解密信息。

那么在实际中,我们是如何分享公钥呢?我们可以通过一个名为 CA(Certification Authority)的第三方机构实现公钥分享,其中还会涉及到 CA 的从属认证机构 RA(Registration Authority,注册管理中心)。CA 将用户的个人身份和公开密钥链接在一起;RA 则确保公开密钥和个人身份链接正确,防止抵赖。归根结底,CA 的作用就是对我们的公钥进行签名,而 CA 作为数字证书的权威机构,CA 的公钥证书一般都已经内置在了各类客户端软件中,所以客户端可以通过验证签发给我们证书的 CA 机构的合法性来判断我们这本证书的合法性。我们将公钥提交到 CA 的这一过程就叫 CSR。

Java生成CSR

  1. 使用标准加密算法获取KeyPairGenerator的实例,此处使用RSA。
  2. 通过提供密钥大小和随机性来源来初始化实例。
  3. 生成CSR中使用的PrivateKey和PublicKey。
  4. 使用PublicKey初始化PKCS10。
  5. 使用标准算法获取签名实例,此处使用MD5WithRSA。
  6. 使用PrivateKey初始化签名对象。
  7. 通过传递通用名称,组织单位,组织,位置,州和国家/地区来创建X500Name对象。
  8. 使用X500Signer,Signature和X500Name对象对PKCS10对象进行编码和签名。
  9. 将PKCS10对象打印到PrintStream。然后就可以使用了。

示例代码

首先,在项目中加入 BouncyCastly 库,以下是 Maven 依赖配置项:

<dependency>
  <groupId>org.bouncycastle</groupId>
  <artifactId>bcpkix-jdk18on</artifactId>
  <version>1.72</version>
</dependency>

然后,下面是示例代码:

public class CsrUtils {

  private static final Provider BC = new BouncyCastleProvider();

  /**
   * 生成 PKCS#10 证书请求
   */
  public static String generateCsr(boolean isRsaNotEcc) throws NoSuchAlgorithmException, InvalidAlgorithmParameterException, OperatorCreationException, IOException {
    // 使用 RSA/ECC 算法,生成密钥对(公钥、私钥)
    KeyPairGenerator generator = KeyPairGenerator.getInstance(isRsaNotEcc ? "RSA" : "EC", BC);
    if (isRsaNotEcc) {
      // RSA
      generator.initialize(2048);
    } else {
      // ECC
      generator.initialize(new ECGenParameterSpec("sm2p256v1"));
    }
    KeyPair keyPair = generator.generateKeyPair();
    PrivateKey privateKey = keyPair.getPrivate();
    PublicKey publicKey = keyPair.getPublic();

    //打印私钥,注意:请务必保存您的私钥
    printOpensslPemFormatKeyFileContent(privateKey, isRsaNotEcc);

    // 按需添加证书主题项,
    X500Principal subject = new X500Principal("C=CN");

    // 使用私钥和 SHA256WithRSA/SM3withSM2 算法创建签名者对象
    ContentSigner signer = new JcaContentSignerBuilder(isRsaNotEcc ? "SHA256WithRSA" : "SM3withSM2")
      .setProvider(BC)
      .build(privateKey);

    // 创建 CSR
    PKCS10CertificationRequestBuilder builder = new JcaPKCS10CertificationRequestBuilder(subject, publicKey);
    PKCS10CertificationRequest csr = builder.build(signer);

    // 打印 OpenSSL PEM 格式文件字符串
    printOpensslPemFormatCsrFileContent(csr);

    // 以 Base64 字符串形式返回 CSR
    return Base64.getEncoder().encodeToString(csr.getEncoded());
  }

  /**
   * 打印 OpenSSL PEM 格式文件字符串的 SSL证书密钥 KEY 文件内容
   * @param privateKey 私钥
   * @param isRsaNotEcc {@code true}:使用 RSA 加密算法;{@code false}:使用 ECC(SM2)加密算法
   */
  private static void printOpensslPemFormatKeyFileContent(PrivateKey privateKey, boolean isRsaNotEcc) throws IOException {
    PemObject pem = new PemObject(isRsaNotEcc ? "PRIVATE KEY" : "EC PRIVATE KEY", privateKey.getEncoded());
    StringWriter str = new StringWriter();
    PemWriter pemWriter = new PemWriter(str);
    pemWriter.writeObject(pem);
    pemWriter.close();
    str.close();

    System.out.println(str.toString());
  }

  /**
   * 打印 OpenSSL PEM 格式文件字符串的 SSL 证书请求 CSR 文件内容
   * @param csr 证书请求对象
   */
  private static void printOpensslPemFormatCsrFileContent(PKCS10CertificationRequest csr) throws IOException {
    PemObject pem = new PemObject("CERTIFICATE REQUEST", csr.getEncoded());
    StringWriter str = new StringWriter();
    PemWriter pemWriter = new PemWriter(str);
    pemWriter.writeObject(pem);
    pemWriter.close();
    str.close();

    System.out.println(str.toString());
  }
}

其他

除此之外,我们还可以使用Java密钥工具Java Keytool的-genkeypair命令来生成私钥和证书请求文件。

keytool -genkeypair -keyalg RSA -keysize 2048 -keystore keystore.jks -storepass password -validity 365 -alias myalias
xiangzhihong8
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java生成的国密cer证书
08-24
国密算法是我国自主研发创新的一套数据加密处理系列算法,很多项目都在用了,所以用Java代码生成的基于国密算法签发的sm2 证书,放到资源里面方便大家下载使用。
Java bouncycastle API 创建 CSR 和签发证书
albon arith
04-05 3594
引入 API <dependency> <groupId>org.bouncycastle</groupId> <artifactId>bcprov-jdk15on</artifactId> <version>1.64</version>...
java 产生p10证书_【国密SM2算法】JAVA创建pkcs10格式的csr证书请求文件
weixin_39947908的博客
02-13 3429
代码:public static void main(String[] args) throws Exception {Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());KeyPairGenerator localKeyPairGenerator = KeyPairGenerator.get...
基于JavaPython实现简单的CA认证系统.zip
06-13
资源包含文件:设计报告word+源码及数据库sql文件 这是软件大型实验周的课设作品,用来实现一个简单的 CA 系统,它包含以下功能: 证书生成:用户提供 Certificate Signing Request (CSR)和 公钥后,系统会自动为用户生成证书并通过邮箱发放,支持 用于 SSL 和代码签名的两类证书证书吊销:用户发起证书吊销请求后,系统会为其更新 Certificate Revocation List (CRL),但考虑系统负荷,用户的吊销请求会被暂时记录,然后以天为单位更新,客户端可以通过 CRL Distribution Point(CRL 分发点:本系统分发点为:CRL Distribution Point)获取最新的 CRL 列表。 证书审核:用户的证书请求需要由管理员审核后才能颁发,因此我们写了一个简单的管理员审核功能。 详细介绍参考:https://biyezuopin.blog.csdn.net/article/details/122684531?spm=1001.2014.3001.5502
openssl生成认证证书的工具
10-21
最简单的方法,直接用java里的keytool工具生成一个keystore文件,然后直接用这个文件启用https就可以了。 方法如下: 命令行执行%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA 执行过程中会询问你一些信息,比如国家代码,省市等,其中需要填写两个密码,一次在开头,一次在最后,请保持两个密码相同。比如,我将密码都设成s3cret。 如果不同,启动会报错,大概是下面这样的 java.io.IOException: Cannot recover key 执行完成后会生成一个.keystore文件,将它复制到tomcat的bin目录下(并不一定,放哪里都可以) 打开conf目录下的server.xml文件,找到以下这一段 它被注释掉了,将注释去掉,并将这一段改成以下 maxThreads="150" scheme="https" secure="true" keystoreFile="bin/.keystore" keystorePass=" s3cret" clientAuth="false" sslProtocol="TLS" /> 之后启动tomcat就可以了,通过https方式访问8443端口,就能看到效果。如果用http访问之前的端口,那么还是普通的未加密连接。 到这里问题来了,我的目的是启用https,但现在http还能访问,那么就可以绕开https。https也就起不了什么作用了。因此要强制访问https。 打开你的web应用的web.xml文件,在最后加上这样一段 Protected Context /* CONFIDENTIAL 重启tomcat,现在你放问原来的地址,假设是http://localhost:8080/mywebapp/,可以看到,连接被重定向到了https的连接 https://localhost:8443/mywebapp/。这样,我们的目的达到了。 但似乎还有点小问题,keystorePass="s3cret",这个密码直接被明码方式卸载server.xml里。总觉得有还是有点不爽。 那么还有一种稍微复杂点的方式,我们使用openssl。 首先,需要下载openssl,为了方便,可以下载一个绿色版, 加压后除了openssl.exe以外,还有一个bat文件,这个可以帮助我们快速创建证书申请文件。 运行autocsr.bat,按照提示输入信息,之后按任意键确认。你会得到两个文件,一个server.key,这是私钥文件,还有一个名为certreq.csr证书请求文件。 如果你要向证书颁发机构申请正式的安全证书,那么就把这个certreq.csr文件发给他们就行了。他们会给你发来两个cer文件,一个是服务器证书,一个是根证书 如果你只是要使用https,那么证书自己签署就可以了。 在命令行下进入刚才解压的目录,找到openssl.exe所在的目录,执行以下命令 openssl x509 -req -in certreq.csr -out cert.cer -signkey server.key -days 3650 现在你将得到一个名为cert.cer的证书文件。 修改server.xml将 maxThreads="150" scheme="https" secure="true" keystoreFile="bin/.keystore" keystorePass=" s3cret" clientAuth="false" sslProtocol="TLS" /> 修改为以下内容(假设cert.cer和server.key文件都放在tomcat的conf目录下) maxThreads="150" scheme="https" secure="true" SSLCertificateFile="conf/cert.cer" SSLCertificateKeyFile="conf/server.key" sslProtocol="TLS" /> PS.如果真的向证书颁发机构申请到了正式的安全证书,那么配置还有点不同,如下 maxThreads="150" scheme="https" secure="true" SSLCertificateFile="conf/server.cer" SSLCertificateKeyFile="conf/server.key" SSLCertificateChainFile="conf/intermediate.cer" sslProtocol="TLS" /> 因为证书颁发机构会给两个整数,一个是签署后的服务器证书,还有一个中级CA证书,所以要多一行配置。 可能证书颁发机构只会给你服务器证书也就是server.cer, 中级的CA证书即 intermediate.cer 需要到 证书颁发机构提供的网站中去下载,具体的操作会为证书颁发机构给发的邮箱中会有相关的提示 好了,到这里都配置完了,重启tomcat,就可以看到效果。不过,看到的通常会是一个exception,大概是说APR not available 如果遇到这个异常,说明你的tomcat没有安装apr支持 apr安装详见:http://www.blogjava.net/yongboy/archive/2009/08/31/293343.html 之后启动tomcat,问题应该解决了,看起来效果和第一种方式没什么不同。
JAVA SM2 数字证书生成
q1009020096的博客
12-21 9426
文章目录Before StartBuild with MavenQuickStart生成自签名公私钥对证书签名算法算法提供者设置证书信息标识信息构造(DN)获取扩展密钥用途构造(可选)证书信息构造X.509格式证书对象生成保存证书ASN.1 结构解析工具致谢 Before Start X.509数字证书请参考: RFC5280 Internet X.509 Public Key Infrastru...
国密算法SM2证书制作
Mr.Kim.Wu 的日记
11-07 3万+
原文:http://www.jonllen.cn/jonllen/work/162.aspx 前段时间将系统的RSA算法全部升级为SM2国密算法,密码机和UKey硬件设备大都同时支持RSA和SM2算法,只是应用系统的加解密签名验证需要修改,这个更改底层调用的加密动态库来,原来RSA用的对称加密算法DES(AES)和摘要MD5(SHA1)也相应改变,分别对应SM1、SM3算法,SM1算法基于硬
SM2证书生成
weixin_40321392的博客
04-15 1840
证书SM2生成 import java.io.FileOutputStream; import java.math.BigInteger; import java.security.KeyPair; import java.security.KeyPairGenerator; import java.security.SecureRandom; import java.security.Secur...
Java生成CSR创建证书
Jinhill's Blog
12-27 2万+
Java生成CSR,签发证书package com.jinhill.cert; import java.io.ByteArrayInputStream; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.FileWriter; import java.io.IOException; im
Java如何生成一个符合X509标准的CSR files?
weixin_42611177的博客
01-16 355
Java中生成符合X509标准的CSR文件可以使用Java密钥工具(Java Keytool)。首先需要使用keytool生成私钥和证书请求文件(CSR)。具体步骤如下: 在命令行中运行keytool,并使用-genkeypair选项生成私钥和证书请求文件。 keytool -genkeypair -keyalg RSA -keysize 2048 -keystore keystore.jk...
JAVA关于SSL证书请求CSR文件及用户秘钥的生成工具类
04-23
工具内容有完整的CSR生成及对应秘钥保存,使用java.securtiy Signature类
keystore-explorer:KeyStore Explorer是Java命令行实用程序keytool和jarsigner的免费GUI替代品
04-12
密钥库资源管理器 KeyStore Explorer是Java命令行实用程序keytool和jarsigner的免费GUI替代品。 官方网站: : 特征: 在各种KeyStore类型之间创建,加载,保存和转换:JKS,JCEKS,PKCS#12,BKS(V1和V2)和UBER 更改密钥库和密钥库条目密码 删除或重命名KeyStore条目 剪切/复制/粘贴KeyStore条目 将证书附加到密钥对证书链 生成具有自签名X.509证书的RSA,ECC和DSA密钥对 将X.509证书扩展名应用于生成的密钥对和证书签名请求CSR) 查看X.509证书,CRL和CRL条目X.509 V3扩展 以多种格式导入和导出密钥和证书:PKCS#12,PKCS#8,PKCS#7,DER / PEM X.509证书文件,Microsoft PVK,SPC,PKI路径,OpenSSL 生成,查看和签名
keytool-helper:简单的KeyTool实用程序
05-16
生成新的证书签名请求CSR ) 签署企业社会责任并产生认证链(p7b) 免责声明: 为了减少依赖性,已经使用了某些类别的sun.security软件包:可能无法在不同于OpenJDK / Oracle的JDK上进行编译。 如何使用 代码...
怎样制作证书请求文件CSR
陕西省数字认证中心
05-30 519
在申请数字证书之前,您必须先生成证书私钥和证书请求文件(CSR,Cerificate Signing Request),CSR是您的公钥证书原始文件,包含了您的服务器信息和您的单位信息,需要提交给CA认证中心。在生成CSR文件时会同时生成私钥文件,请妥善保管和备份您的私钥。 生成CSR文件时,一般需要输入以下信息(中文需要UTF8编码): Organization Name(O):申请单位名称法定名称,可以是中文或英文 Organization Unit(OU):申请单位的所在部门,可以是中文或英文
Java实现基于国密SM2、SM4生成证书密钥进行字串的加解密
kungFuApe的博客
09-01 8227
java实现基于国密SM2、SM4生成数字证书和公私钥进行加密、加签、验签、解密,仅供参考。
sm2证书生成(openssl生成公私钥对)—使用
csj50的专栏
03-30 1万+
密钥和命令解析出来的一样。6、写一个main方法。
java加密使用
最新发布
Echo的博客
10-10 1206
加密和解密使用相同的秘钥,常见算法有DES、TDES、AES、SM4、RC2/4 加密和解密使用不同的秘钥,公钥加密私钥解密,私钥加密公钥解密。常见算法有RSA、SM2、ECC类似于hash,不可逆。常见的信息摘要算法有:MD2/4/5、SHA1/SHA224/SHA256/SHA384、SM3算法、MAC算法等 【数字签名】主要解决了两个核心问题:发送的消息是完整的,未被篡改的;接收的消息一定就是对应发送者发送的,别人无法仿制。前者体现的是数据的完整性,后者体现的是数据的不可抵赖性数字签名的应用公式如下所
java 产生p10证书_证书应用学习(二)——PKCS10生成证书请求
weixin_36099549的博客
02-16 5546
申请证书就需要产生证书请求,生成PKCS#10的证书请求就需要准备1. 选择秘钥对的生成厂商(一般有BC的包,或者密码卡提供商提供的集成包)2. 产生秘钥对3. 构建DN4.生成P105. 分别存储公私钥,文件名以DN的hash作为唯一值,后缀以.key 和. keypub结尾X500Principal subject = new X500Principal(dn);JcaPKCS10Certif...
一文看懂CDN加速原理
热门推荐
xiangzhihong8的专栏
10-18 3万+
随着互联网的发展,用户在使用网络时对网站的浏览速度和效果愈加重视,但由于网民数量激增,网络访问路径过长,从 而使用户的访问质量受到严重影响。特别是当用户与网站之间的链路被突发的大流量数据拥塞时,对于异地互联网用户急速增加的地区来说,访问质量不良更是一个 急待解决的问题。 很多时候,大家都在谈CDN,那么何为CDN,原理是什么,今天就给大家普及普及。 CDN CDN的全称是Content Deliv...
使用java代码生成CA证书及其子证书
05-31
生成CA证书及其子证书可以使用Java的Keytool工具和Bouncy Castle库结合使用。以下是一个简单的示例: 1. 首先,创建一个密钥库并生成一个RSA密钥对作为CA证书: ``` KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA"); keyPairGenerator.initialize(2048); // 生成2048位RSA密钥对 KeyPair keyPair = keyPairGenerator.generateKeyPair(); X500Name issuerName = new X500Name("CN=MyCA"); BigInteger serialNumber = BigInteger.valueOf(System.currentTimeMillis()); X509v3CertificateBuilder caBuilder = new JcaX509v3CertificateBuilder( issuerName, serialNumber, new Date(System.currentTimeMillis() - 24 * 60 * 60 * 1000), // 开始时间为昨天 new Date(System.currentTimeMillis() + 365 * 24 * 60 * 60 * 1000), // 结束时间为一年后 issuerName, keyPair.getPublic() ); ContentSigner caContentSigner = new JcaContentSignerBuilder("SHA256WithRSAEncryption").build(keyPair.getPrivate()); X509Certificate caCertificate = new JcaX509CertificateConverter().getCertificate(caBuilder.build(caContentSigner)); ``` 这将使用Java的KeyPairGenerator类生成一个2048位的RSA密钥对,并使用Bouncy Castle库中的JcaX509v3CertificateBuilder类构建一个X.509证书,作为CA证书。请注意,此示例中的证书有效期为一年,您可以根据需要进行更改。 2. 然后,使用以下代码导出CA证书: ``` KeyStore keyStore = KeyStore.getInstance("JKS"); keyStore.load(null, null); keyStore.setCertificateEntry("myca", caCertificate); FileOutputStream fos = new FileOutputStream("mykeystore.jks"); keyStore.store(fos, "mykeystorepassword".toCharArray()); fos.close(); ``` 这将使用Java的KeyStore类将CA证书保存到一个名为mykeystore.jks的密钥库中,并设置一个密码来保护密钥库。 3. 接下来,使用以下代码创建一个证书签名请求CSR): ``` PKCS10CertificationRequestBuilder csrBuilder = new JcaPKCS10CertificationRequestBuilder( new X500Name("CN=MyCert"), keyPair.getPublic() ); ContentSigner csrContentSigner = new JcaContentSignerBuilder("SHA256WithRSAEncryption").build(keyPair.getPrivate()); PKCS10CertificationRequest csr = csrBuilder.build(csrContentSigner); ``` 这将使用Bouncy Castle库中的JcaPKCS10CertificationRequestBuilder类创建一个证书签名请求。 4. 然后,将CSR发送给CA机构,以便他们签署您的证书。在收到签署的证书后,将其保存为mycert.crt文件。 5. 最后,使用以下代码将证书导入到受信任的证书列表中: ``` CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509"); InputStream certInputStream = new FileInputStream("mycert.crt"); X509Certificate cert = (X509Certificate) certificateFactory.generateCertificate(certInputStream); certInputStream.close(); keyStore.setCertificateEntry("mycert", cert); FileOutputStream fos = new FileOutputStream("mykeystore.jks"); keyStore.store(fos, "mykeystorepassword".toCharArray()); fos.close(); ``` 这将使用Java的CertificateFactory类将证书加载到内存中,并使用KeyStore类将证书保存到密钥库中。 请注意,以上示例中的代码可能需要根据您的具体情况进行调整。此外,生成真实的CA证书和其子证书需要更复杂的流程和步骤,您需要深入了解相关知识才能完成。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiangzhihong8

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值