[英]Create x.509 certificate using bouncycastle with certificate path (cert chain)
Hy Guys! 我正在嘗試使用bouncycastle創建x.509證書,該證書應該由另一個證書簽名並存儲它PEM base 64格式。
我已經擁有自簽名證書(公鑰和私鑰)。 現在我想創建一個新的並使用現有的自簽名證書進行簽名。
KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA", "BC");
keyPairGenerator.initialize(1024, new SecureRandom());
KeyPair keyPair = keyPairGenerator.generateKeyPair();
X509V3CertificateGenerator certGen = new X509V3CertificateGenerator();
X500Principal dnName = new X500Principal("CN=Sergey");
certGen.setSerialNumber(BigInteger.valueOf(System.currentTimeMillis()));
certGen.setSubjectDN(dnName);
certGen.setIssuerDN(caCert.getSubjectX500Principal());
certGen.setNotBefore(validityBeginDate);
certGen.setNotAfter(validityEndDate);
certGen.setPublicKey(keyPair.getPublic());
certGen.setSignatureAlgorithm("SHA256WithRSAEncryption");
certGen.addExtension(X509Extensions.AuthorityKeyIdentifier, false, new AuthorityKeyIdentifierStructure(caCert));
certGen.addExtension(X509Extensions.SubjectKeyIdentifier, false, new SubjectKeyIdentifierStructure(keyPair.getPublic()));
X509Certificate cert = certGen.generate(caCertPrivateKey, "BC");
驗證通過沒有例外,這意味着從我的觀點來看,它已被caCert成功簽署:
cert.verify(caCert.getPublicKey());
然后我將它解碼到PEM base 64:
PEMWriter pemWriter = new PEMWriter(new PrintWriter(System.out));
pemWriter.writeObject(cert);
pemWriter.flush();
我在輸出中得到這樣的東西:
-----開始證書-----
MIIDDjCCAnegAwIBAgIBFDAN ........
-----結束證書-----
當我打開它時,我看到下一個:
如果caCert成功簽署,為什么沒有認證鏈?
在我的代碼中需要更改哪些內容才能看到我預期的認證鏈?
我能夠找到解決方案。 實際上代碼按預期工作。 我沒有看到證書鏈,因為我的caRoot證書沒有添加到受信任的商店。 在我將自己簽署的證書添加到受信任的根認證中心后,我看到了整個認證鏈。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.