drd*_*man 4 java ssl bouncycastle x509certificate x509
我正在使用 Java BouncyCastle 所谓的“轻量级”API 通过 TCP 套接字建立 TLS 连接。
我想验证服务器提供的证书链是否由受信任的 CA 之一签名。听起来像是每个正常的 TLS 客户端实现默认都会执行的相当常见的任务,所以我希望这应该很简单。
为了简化问题,我不会要求验证除签名/信任链之外的任何内容,例如匹配主机名或检查过期日期。实施此类检查似乎微不足道。
如果我正确理解文档,就会有一个TlsAuthentication用户应该实现的界面。唯一提供的实现是LegacyTlsAuthentication,它适应现在已弃用的CertificateVerifyer接口,该接口只有AlwaysValidVerifyer实现(这只是return true;幕后的虚拟“”)。
所以,这就是我现在所拥有的:
DefaultTlsClient tlsClient = new DefaultTlsClient() {
@Override
public TlsAuthentication getAuthentication() throws IOException {
TlsAuthentication auth = new TlsAuthentication() {
@Override
public void notifyServerCertificate(Certificate serverCertificate) {
// Here I should validate certificate chain, but this far
// I only managed to print subjects for debugging purposes.
for (org.bouncycastle.asn1.x509.Certificate c : serverCertificate.getCerts()) {
System.out.println("Certificate: " + c.getSubject().toString());
}
}
@Override
public TlsCredentials getClientCredentials(CertificateRequest cr) throws IOException {
return null;
}
};
return auth;
}
};
socket = new Socket(hostname, port);
tlsHandler = new TlsProtocolHandler(socket.getInputStream(), socket.getOutputStream());
tlsHandler.connect(tlsClient);
但是,我无法理解或找到任何现有示例来检查一个示例是否org.bouncycastle.asn1.x509.Certificate由另一个示例正确签名。有人可以给我一些指示吗?
我正在使用 BounceCastle 的专有 API,因为需要使用默认 Java 安装不允许的密码套件,因为受到美国加密政策管辖权的限制。例如,AES256 加密需要安装无限强度的策略文件,如果可能的话,我真的希望避免额外的最终用户安装步骤。
X509CertificateHolder 类的isSignatureValid方法应该适合您。此方法接受 1 个参数,一个ContentVerifierProvider。您可以通过将证书传递到构造函数来创建 X509CertificateHolder。
以下代码取自 BC 的第 2 版 API 页面,应该可以让您对如何在解决方案中实现这一点有一个很好的了解。
ContentVerifierProvider contentVerifierProvider =
new BcRSAContentVerifierProviderBuilder(
new DefaultDigestAlgorithmIdentifierFinder()).build(lwPubKey);
if (!certHolder.isSignatureValid(contentVerifierProvider))
{
System.err.println("signature invalid");
}
“lwPubKey”是签名者的公钥。因此,根据您的证书链的长度,您将重复调用此方法,从最终实体证书开始,并沿着自签名根证书行进。
| 归档时间: |
|
| 查看次数: |
3060 次 |
| 最近记录: |