如何以编程方式检查X509证书是否已存在于Java Trust Store中?
[英]How to check if X509 certificate is already in the Java Trust Store programatically?
问题描述
我正在开发一个客户端GUI,它接受自签名服务器证书并将其添加到信任存储区,就像任何浏览器一样。 问题是我的客户端应用程序每次启动时都要求提供证书,换句话说,它不记得证书已经在信任库中。 我该如何实现? 这就是我编写信任库文件的方式:
public void WriteTrustStore(String alias, X509Certificate c){
char[] password = "changeit".toCharArray();
char SEP = File.separatorChar;
keystoreFile = new File(System.getProperty("java.home")
+ SEP + "lib" + SEP + "security" + SEP + "cacerts");
try {
setTrustStore(trustStore);
FileInputStream in = new FileInputStream(keystoreFile);
trustStore.load(in, password);
in.close();
trustStore.setCertificateEntry(alias, c);
FileOutputStream out = new FileOutputStream(keystoreFile);
trustStore.store(out, password);
out.close();
} catch (KeyStoreException | NoSuchAlgorithmException | CertificateException | IOException e) {
e.printStackTrace();
}
}
然后我有另一种方法,我正在初始化我的SSL上下文,并通过执行以下操作创建动态别名:
string alias = getHostname() + "-" + getPortname();
最后我有一个别名,如:
"myhost-5001"
然后我调用WriteTrustStore(别名,证书)方法。
但是在程序的下一次执行运行中,如果我试图找到具有此别名的证书,我总是会得到一个空指针异常。
我知道信任库文件有一个属性,如:
trustStore.containsAlias(alias)
我试过了,
if(trustStore.containsAlias(alias) == false){
WriteTrustStore(alias, (X509Certificate) cert)
}
else {
System.out.Println("Certificate already in trust store!");
}
但我仍然得到Null-Pointer异常。 而且我知道别名为myhost-5001的证书位于Java信任库中,我使用keytool和portecle进行了交叉检查。
谢谢你的帮助!
1 个解决方案
解决方案1
2 2015-08-05 14:51:02
我想通了,有两种方法可以做到。
第一种方法
我在这里找到了这个: 检查可信证书 ,你在这里列举如下别名:
Enumeration en = keystore.aliases();
String ALIAS = "" ;
X509Certificate signingcert = null;
while (en.hasMoreElements())
{
X509Certificate storecert = null;
String ali = (String)en.nextElement() ;
if(keystore.isCertificateEntry(ali))
{
storecert = (X509Certificate)keystore.getCertificate(ali);
if( (storecert.getIssuerDN().getName()).equals(issuerdn))
{
try{
System.out.println("Found matching issuer DN cert in keystore:\r\nChecking signature on cert ...") ;
cert.verify(storecert.getPublicKey()) ;
System.out.println("Signature verified on certificate") ;
signingcert = storecert;
break;
}
catch(Exception exc){
System.out.println("Failed to verify signature on certificate with matching cert DN");
}
}
}
else
if(keystore.isKeyEntry(ali))
System.out.println(ali + " **** key entry ****");
}
第二种方法
只需创建一个重复的证书,该证书在信任库中查找具有您传递的别名的证书。
X509Certificate DuplicateCert = (X509Certificate) trustStore.getCertificate(alias);
第一种方法更安全,因为您也在查看Issuer DN但需要更长时间,第二种方法简单且更短。
第二种方法对我来说就像一个魅力,你可以在这里找到完整的GUI代码审查,看看我是如何使用它的: JAX-WS客户端SSL代码审查
如何从 Java X509 证书获取 BasicConstraints 扩展
[英]How to get BasicConstraints extension from Java X509 certificate
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.