X509V*CertificateGeneratorバウンシーキャッスルクラスを使用せずに、JavaコードでX509証明書を正しく作成することは可能ですか?
56397 次
5 に答える
86
はい。ただし、公に文書化されたクラスではありません。この記事でプロセスを文書化しました。
import sun.security.x509.*;
import java.security.cert.*;
import java.security.*;
import java.math.BigInteger;
import java.util.Date;
import java.io.IOException
/**
* Create a self-signed X.509 Certificate
* @param dn the X.509 Distinguished Name, eg "CN=Test, L=London, C=GB"
* @param pair the KeyPair
* @param days how many days from now the Certificate is valid for
* @param algorithm the signing algorithm, eg "SHA1withRSA"
*/
X509Certificate generateCertificate(String dn, KeyPair pair, int days, String algorithm)
throws GeneralSecurityException, IOException
{
PrivateKey privkey = pair.getPrivate();
X509CertInfo info = new X509CertInfo();
Date from = new Date();
Date to = new Date(from.getTime() + days * 86400000l);
CertificateValidity interval = new CertificateValidity(from, to);
BigInteger sn = new BigInteger(64, new SecureRandom());
X500Name owner = new X500Name(dn);
info.set(X509CertInfo.VALIDITY, interval);
info.set(X509CertInfo.SERIAL_NUMBER, new CertificateSerialNumber(sn));
info.set(X509CertInfo.SUBJECT, new CertificateSubjectName(owner));
info.set(X509CertInfo.ISSUER, new CertificateIssuerName(owner));
info.set(X509CertInfo.KEY, new CertificateX509Key(pair.getPublic()));
info.set(X509CertInfo.VERSION, new CertificateVersion(CertificateVersion.V3));
AlgorithmId algo = new AlgorithmId(AlgorithmId.md5WithRSAEncryption_oid);
info.set(X509CertInfo.ALGORITHM_ID, new CertificateAlgorithmId(algo));
// Sign the cert to identify the algorithm that's used.
X509CertImpl cert = new X509CertImpl(info);
cert.sign(privkey, algorithm);
// Update the algorith, and resign.
algo = (AlgorithmId)cert.get(X509CertImpl.SIG_ALG);
info.set(CertificateAlgorithmId.NAME + "." + CertificateAlgorithmId.ALGORITHM, algo);
cert = new X509CertImpl(info);
cert.sign(privkey, algorithm);
return cert;
}
2021年の編集-残念ながら、このアプローチはJava 17では機能しません。これは、sun.*階層にアクセスできないためです。つまり、BouncyCastleまたはロールに戻ります-独自のASN.1シリアライザーです。
于 2011-03-30T16:08:15.893 に答える
21
証明書に署名する機能は、標準のJavaライブラリまたは拡張機能の一部ではありません。
自分でそれを行うために必要なコードの多くは、コアの一部です。X.500名、X.509証明書拡張、さまざまなアルゴリズムの公開鍵、そしてもちろん実際にデジタル署名を実行するためのエンコードとデコードを行うクラスがあります。
これを自分で実装するのは簡単ではありませんが、間違いなく実行可能です。証明書署名用の実用的なプロトタイプを初めて作成したときは、おそらく4〜5日を費やしました。それは私にとって素晴らしい学習演習でしたが、無料で利用できる使用可能なライブラリがある場合、その費用を正当化するのは難しいです。
于 2009-10-23T21:26:29.197 に答える
12
import sun.security.x509.*;
import java.security.cert.*;
import java.security.*;
import java.math.BigInteger;
import java.security.cert.Certificate;
import java.util.Date;
import java.io.IOException;
public class Example {
/**
* Create a self-signed X.509 Example
*
* @param dn the X.509 Distinguished Name, eg "CN=Test, L=London, C=GB"
* @param pair the KeyPair
* @param days how many days from now the Example is valid for
* @param algorithm the signing algorithm, eg "SHA1withRSA"
*/
public X509Certificate generateCertificate(String dn, KeyPair pair, int days, String algorithm)
throws GeneralSecurityException, IOException {
PrivateKey privkey = pair.getPrivate();
X509CertInfo info = new X509CertInfo();
Date from = new Date();
Date to = new Date(from.getTime() + days * 86400000l);
CertificateValidity interval = new CertificateValidity(from, to);
BigInteger sn = new BigInteger(64, new SecureRandom());
X500Name owner = new X500Name(dn);
info.set(X509CertInfo.VALIDITY, interval);
info.set(X509CertInfo.SERIAL_NUMBER, new CertificateSerialNumber(sn));
info.set(X509CertInfo.SUBJECT, owner);
info.set(X509CertInfo.ISSUER, owner);
info.set(X509CertInfo.KEY, new CertificateX509Key(pair.getPublic()));
info.set(X509CertInfo.VERSION, new CertificateVersion(CertificateVersion.V3));
AlgorithmId algo = new AlgorithmId(AlgorithmId.md5WithRSAEncryption_oid);
info.set(X509CertInfo.ALGORITHM_ID, new CertificateAlgorithmId(algo));
// Sign the cert to identify the algorithm that's used.
X509CertImpl cert = new X509CertImpl(info);
cert.sign(privkey, algorithm);
// Update the algorith, and resign.
algo = (AlgorithmId) cert.get(X509CertImpl.SIG_ALG);
info.set(CertificateAlgorithmId.NAME + "." + CertificateAlgorithmId.ALGORITHM, algo);
cert = new X509CertImpl(info);
cert.sign(privkey, algorithm);
return cert;
}
public static void main (String[] argv) throws Exception {
KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
KeyPair keyPair = keyPairGenerator.generateKeyPair();
Example example = new Example();
String distinguishedName = "CN=Test, L=London, C=GB";
Certificate certificate = example.generateCertificateOriginal(distinguishedName, keyPair, 365, "SHA256withRSA");
System.out.println("it worked!");
}
}
私はvbenceの答えが好きでしたが、次の例外が発生し続けました。
java.security.cert.CertificateException:サブジェクトクラスタイプが無効です。
有効なサブジェクトクラスを見つけるために何度も試みた後、X509CerInfoがX500Nameのインスタンスを必要としていることがわかりました。
1 info.set(X509CertInfo.SERIAL_NUMBER, new CertificateSerialNumber(sn));
2 info.set(X509CertInfo.SUBJECT, new CertificateSubjectName(owner));
3 info.set(X509CertInfo.ISSUER, new CertificateIssuerName(owner));
4 info.set(X509CertInfo.KEY, new CertificateX509Key(pair.getPublic()));
したがって、2行目と3行目は次のように変更する必要があります
2 info.set(X509CertInfo.SUBJECT, owner);
3 info.set(X509CertInfo.ISSUER, owner);
于 2017-06-24T15:36:56.703 に答える
4
自己署名証明書を作成するためのすべての基本コンポーネント(署名、X509エンコーディングなど)は、JREで使用できます。BCとは異なり、SunのJCEは、証明書に署名するためのパブリックコールを提供しません。ただし、すべての機能はKeytoolで使用できます。これを行うには、keytoolからコードをコピーするだけです。コピーする必要があるメソッドはですdoSelfCert()。
于 2009-10-23T22:05:30.873 に答える
1
正確に何をしたいか(そしておそらく「Sanely」の定義)によって異なります。ZZ Coderが指摘したように、keytoolをコピーすることで、自己署名証明書を直接作成できます。ただし、標準のJCEを使用してPKCS10証明書要求オブジェクトを作成できるとは思いません。これは、標準のCA署名付きEECを作成する場合に必要になる可能性があります。
于 2010-01-10T16:43:07.493 に答える