使用带证书路径的bouncycastle创建x.509证书（证书链）

Question

Hy Guys！ 我正在尝试使用bouncycastle创建x.509证书，该证书应该由另一个证书签名并存储它PEM base 64格式。

我已经拥有自签名证书（公钥和私钥）。 现在我想创建一个新的并使用现有的自签名证书进行签名。

KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA", "BC");
keyPairGenerator.initialize(1024, new SecureRandom());
KeyPair keyPair = keyPairGenerator.generateKeyPair();

X509V3CertificateGenerator certGen = new X509V3CertificateGenerator();
X500Principal dnName = new X500Principal("CN=Sergey");
certGen.setSerialNumber(BigInteger.valueOf(System.currentTimeMillis()));
certGen.setSubjectDN(dnName);
certGen.setIssuerDN(caCert.getSubjectX500Principal());
certGen.setNotBefore(validityBeginDate);
certGen.setNotAfter(validityEndDate);
certGen.setPublicKey(keyPair.getPublic());
certGen.setSignatureAlgorithm("SHA256WithRSAEncryption");

certGen.addExtension(X509Extensions.AuthorityKeyIdentifier, false, new AuthorityKeyIdentifierStructure(caCert));
certGen.addExtension(X509Extensions.SubjectKeyIdentifier, false, new SubjectKeyIdentifierStructure(keyPair.getPublic()));

X509Certificate cert = certGen.generate(caCertPrivateKey, "BC");

验证通过没有例外，这意味着从我的观点来看，它已被caCert成功签署：

cert.verify(caCert.getPublicKey());

然后我将它解码到PEM base 64：

PEMWriter pemWriter = new PEMWriter(new PrintWriter(System.out));
pemWriter.writeObject(cert);
pemWriter.flush();

我在输出中得到这样的东西：

-----开始证书-----

MIIDDjCCAnegAwIBAgIBFDAN ........

-----结束证书-----

当我打开它时，我看到下一个：

如果caCert成功签署，为什么没有认证链？

在我的代码中需要更改哪些内容才能看到我预期的认证链？

Answer 1

我能够找到解决方案。 实际上代码按预期工作。 我没有看到证书链，因为我的caRoot证书没有添加到受信任的商店。 在我将自己签署的证书添加到受信任的根认证中心后，我看到了整个认证链。