使用帶證書路徑的bouncycastle創建x.509證書（證書鏈）

Question

Hy Guys！ 我正在嘗試使用bouncycastle創建x.509證書，該證書應該由另一個證書簽名並存儲它PEM base 64格式。

我已經擁有自簽名證書（公鑰和私鑰）。 現在我想創建一個新的並使用現有的自簽名證書進行簽名。

KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA", "BC");
keyPairGenerator.initialize(1024, new SecureRandom());
KeyPair keyPair = keyPairGenerator.generateKeyPair();

X509V3CertificateGenerator certGen = new X509V3CertificateGenerator();
X500Principal dnName = new X500Principal("CN=Sergey");
certGen.setSerialNumber(BigInteger.valueOf(System.currentTimeMillis()));
certGen.setSubjectDN(dnName);
certGen.setIssuerDN(caCert.getSubjectX500Principal());
certGen.setNotBefore(validityBeginDate);
certGen.setNotAfter(validityEndDate);
certGen.setPublicKey(keyPair.getPublic());
certGen.setSignatureAlgorithm("SHA256WithRSAEncryption");

certGen.addExtension(X509Extensions.AuthorityKeyIdentifier, false, new AuthorityKeyIdentifierStructure(caCert));
certGen.addExtension(X509Extensions.SubjectKeyIdentifier, false, new SubjectKeyIdentifierStructure(keyPair.getPublic()));

X509Certificate cert = certGen.generate(caCertPrivateKey, "BC");

驗證通過沒有例外，這意味着從我的觀點來看，它已被caCert成功簽署：

cert.verify(caCert.getPublicKey());

然后我將它解碼到PEM base 64：

PEMWriter pemWriter = new PEMWriter(new PrintWriter(System.out));
pemWriter.writeObject(cert);
pemWriter.flush();

我在輸出中得到這樣的東西：

-----開始證書-----

MIIDDjCCAnegAwIBAgIBFDAN ........

-----結束證書-----

當我打開它時，我看到下一個：

如果caCert成功簽署，為什么沒有認證鏈？

在我的代碼中需要更改哪些內容才能看到我預期的認證鏈？

Answer 1

我能夠找到解決方案。 實際上代碼按預期工作。 我沒有看到證書鏈，因為我的caRoot證書沒有添加到受信任的商店。 在我將自己簽署的證書添加到受信任的根認證中心后，我看到了整個認證鏈。