Java X509 证书解析和验证

Posted 2023-02-19

【中文标题】Java X509 证书解析和验证

【英文标题】：Java X509 Certificate parsing and validating

【发布时间】：2012-04-20 01:33:45

【问题描述】：

我正在尝试分几个步骤处理 X509 证书，但遇到了几个问题。我是 JCE 的新手，所以我还没有完全了解所有内容。

我们希望能够基于不同的编码（PEM、DER 和 PCKS7）解析几个不同的 X509 证书。我使用 FireFox（包括链的证书）以 PEM 和 PCKS7 格式从 https://belgium.be 导出了相同的证书。我留下了几行不需要的问题

public List<X509Certificate> parse(FileInputStream fis)   
    /*
     * Generate a X509 Certificate initialized with the data read from the inputstream. 
     * NOTE: Generation fails when using BufferedInputStream on PKCS7 certificates.
     */
    List<X509Certificate> certificates = null;
      log.debug("Parsing new certificate.");
      certificates = (List<X509Certificate>) cf.generateCertificates(fis);
    return certificates;
  

只要我使用 FileInputStream 而不是 PCKS7 的 BufferedInputStream，这段代码就可以正常工作，我认为这已经很奇怪了？但我可以忍受它。

下一步是验证这些证书链。 1）检查所有证书是否都有有效日期（简单） 2) 使用 OCSP 验证证书链（如果在证书中找不到 OCSP URL，则回退到 CRL）。这是我不完全确定如何处理的地方。

我正在使用 Sun JCE，但似乎没有太多可用的文档（在示例中）？

我首先做了一个简单的实现，只检查链而不通过 OCSP/CRL 检查。

private Boolean validateChain(List<X509Certificate> certificates) 
    PKIXParameters params;
    CertPath certPath;
    CertPathValidator certPathValidator;
    Boolean valid = Boolean.FALSE;

    params = new PKIXParameters(keyStore);
    params.setRevocationEnabled(false);

    certPath = cf.generateCertPath(certificates);
    certPathValidator = CertPathValidator.getInstance("PKIX");

    PKIXCertPathValidatorResult result = (PKIXCertPathValidatorResult)  
    certPathValidator.validate(certPath, params);

      if(null != result) 
        valid = Boolean.TRUE;
      
    return valid;
 

这适用于我的 PEM 证书，但不适用于 PCKS7 证书（相同的证书，仅以其他格式导出）。 java.security.cert.CertPathValidatorException：路径未与任何信任锚链接。

我能看到的唯一区别是形成 CertPath 的顺序不一样？我无法弄清楚出了什么问题，所以我暂时离开了这个并继续使用 PEM 证书，但我们称之为问题 1 ;)

我之后想要实现的是 OCSP 检查。 显然，如果我启用 OCSP 使用： Security.setProperty("ocsp.enable", "true"); 并设置 params.setRevocationEnabled(true); 它应该能够自行找到 OCSP URL，但似乎并非如此。标准实现应该做什么（问题2）？ java.security.cert.CertPathValidatorException: 必须指定 OCSP 响应者的位置

通过这个，我找到了一种使用 AuthorityInfoAccessExtension 等从证书中检索 OCSP url 的方法。

但在 ocsp.url 属性中手动设置 OCSP url 后，我收到 java.security.cert.CertPathValidatorException: OCSP response error: UNAUTHORIZED

似乎我错过了很多必要的步骤，而很多在线参考资料都说设置 ocsp.enable 属性应该是您需要做的全部事情？

也许你们中的任何一个高手都无法指导我完成整个过程？告诉我我完全错了:)

如果没有找到 OCSP，下一步将实施 CRL 检查，如果有人可以指出任何示例或向我展示一些关于此的文档，我将不胜感激！

谢谢！

编辑： 由于它不会自行获取属性，因此我一直在尝试使用以下方法自己设置所有属性：

    // Activate OCSP
        Security.setProperty("ocsp.enable", "true");
        // Activate CRLDP -- no idea what this is
        Security.setProperty("com.sun.security.enableCRLDP", "true");

        X509Certificate target = (X509Certificate) certPath.getCertificates().get(0);
        Security.setProperty("ocsp.responderURL","http://ocsp.pki.belgium.be/");
        Security.setProperty("ocsp.responderCertIssuerName", target.getIssuerX500Principal().getName());
        Security.setProperty("ocsp.responderCertSubjectName", target.getSubjectX500Principal().getName());
        Security.setProperty("ocsp.responderCertSerialNumber", target.getSerialNumber().toString(16));

这给出了一个例外： java.security.cert.CertPathValidatorException: 找不到响应者的证书（使用 OCSP 安全属性设置）。

【问题讨论】：

OSCPChecker 似乎在 getOCSPServerURI 方法中执行此操作：grepcode.com/file/repository.grepcode.com/java/root/jdk/openjdk/…

在您的示例中cf 是什么？

已经很久了，但我想说docs.oracle.com/javase/7/docs/api/java/security/cert/…

【参考方案1】：

为了将来参考，我将发布我自己问题的答案（至少部分）

OCSP 和 CRL 检查已在标准 Java 实现中实现，无需自定义代码或其他提供程序（BC、..）。默认情况下它们被禁用。

要启用此功能，您必须至少设置两个参数：

(PKIXParameters or PKIXParameterBuilder) params.setRevocationEnabled(true);
Security.setProperty("ocsp.enable", "true");

当您尝试验证证书路径 (PKIXCertPathValidatorResult.validate()) 时，这将激活 OCSP 检查。

如果您想在没有 OCSP 可用的情况下为 CRL 添加回退检查，请添加附加属性：

System.setProperty("com.sun.security.enableCRLDP", "true");

由于我必须支持不同的证书格式（PKCS7、PEM），我的很多问题正在发生。我的实现适用于 PEM，但由于 PKCS7 不保存链中证书的排序，因此有点困难 (http://bugs.sun.com/view_bug.do?bug_id=6238093)

X509CertSelector targetConstraints = new X509CertSelector();

targetConstraints.setCertificate(certificates.get(0));
// Here's the issue for PKCS7 certificates since they are not ordered,
// but I havent figured out how I can see what the target certificate
// (lowest level) is in the incoming certificates..

PKIXBuilderParameters params = new PKIXBuilderParameters(anchors, targetConstraints);   

希望这对其他人也有用，也许有人可以阐明如何在无序的 PKCS7 列表中找到目标证书？