在没有 BouncyCastle 的情况下用 Java 创建 X509 证书?

Posted

技术标签:

【中文标题】在没有 BouncyCastle 的情况下用 Java 创建 X509 证书?【英文标题】:Creating an X509 Certificate in Java without BouncyCastle? 【发布时间】:2010-12-09 14:35:50 【问题描述】:

是否可以在不使用 Bouncy Castle X509V*CertificateGenerator 类的情况下用 Java 代码创建 X509 证书?

【问题讨论】:

【参考方案1】:

是的,但不是公开记录的课程。我已经记录了这个过程in this article。

import sun.security.x509.*;
import java.security.cert.*;
import java.security.*;
import java.math.BigInteger;
import java.util.Date;
import java.io.IOException

/** 
 * Create a self-signed X.509 Certificate
 * @param dn the X.509 Distinguished Name, eg "CN=Test, L=London, C=GB"
 * @param pair the KeyPair
 * @param days how many days from now the Certificate is valid for
 * @param algorithm the signing algorithm, eg "SHA1withRSA"
 */ 
X509Certificate generateCertificate(String dn, KeyPair pair, int days, String algorithm)
  throws GeneralSecurityException, IOException

  PrivateKey privkey = pair.getPrivate();
  X509CertInfo info = new X509CertInfo();
  Date from = new Date();
  Date to = new Date(from.getTime() + days * 86400000l);
  CertificateValidity interval = new CertificateValidity(from, to);
  BigInteger sn = new BigInteger(64, new SecureRandom());
  X500Name owner = new X500Name(dn);
 
  info.set(X509CertInfo.VALIDITY, interval);
  info.set(X509CertInfo.SERIAL_NUMBER, new CertificateSerialNumber(sn));
  info.set(X509CertInfo.SUBJECT, new CertificateSubjectName(owner));
  info.set(X509CertInfo.ISSUER, new CertificateIssuerName(owner));
  info.set(X509CertInfo.KEY, new CertificateX509Key(pair.getPublic()));
  info.set(X509CertInfo.VERSION, new CertificateVersion(CertificateVersion.V3));
  AlgorithmId algo = new AlgorithmId(AlgorithmId.md5WithRSAEncryption_oid);
  info.set(X509CertInfo.ALGORITHM_ID, new CertificateAlgorithmId(algo));
 
  // Sign the cert to identify the algorithm that's used.
  X509CertImpl cert = new X509CertImpl(info);
  cert.sign(privkey, algorithm);
 
  // Update the algorith, and resign.
  algo = (AlgorithmId)cert.get(X509CertImpl.SIG_ALG);
  info.set(CertificateAlgorithmId.NAME + "." + CertificateAlgorithmId.ALGORITHM, algo);
  cert = new X509CertImpl(info);
  cert.sign(privkey, algorithm);
  return cert;
   

【讨论】:

一个非常好的提示。使我免于导入可怕的(和心爱的)Bouncycastle 库。膨胀开始了! 有没有不涉及调用 sun.security.x509.* 的方法?鉴于它实际上不是您应该使用的东西。 优秀。为我节省了很多工作。代码很好很干净。我正在编辑代码以确保它不会在博客关闭时消失。 对于 JDK 8,这应该是: info.set(X509CertInfo.SUBJECT, owner); info.set(X509CertInfo.ISSUER, 所有者); @AxelFontaine 提到的更改在此处描述bugs.openjdk.java.net/browse/JDK-7198416【参考方案2】:

签署证书的能力不是标准 Java 库或扩展的一部分。

很多需要自己做的代码是核心的一部分。有一些类可以编码和解码 X.500 名称、X.509 证书扩展、各种算法的公钥,当然还有实际执行数字签名的类。

自己实现这一点并非易事,但这绝对是可行的——我第一次制作证书签名的工作原型时可能花了 4 到 5 天。这对我来说是一个很棒的学习练习,但是当有免费可用的可用库时,很难证明这笔费用是合理的。

【讨论】:

截至 2017 年,这仍然准确吗? 不,截断的代码使用过时的加密技术(Javadoc 中的 MD5withRSA 或 SHA1withRSA)来签署证书。相反,我建议使用 SHA256withRSA、SHA384withRSA、SHA512withRSA 或 SHA256withECDSA、SHA384withECDSA 和 SHA512withECDSA,具体取决于您设计的安全级别。 @DanielGartmann 不清楚您在说什么“代码被剪断”。您的“否”是对之前评论者的回复吗? @erickson 是的,我显然在回答 user674669 的问题。我所说的“code sn-p”是指下面前2个答案中显示的代码(在包含源代码的灰色区域中)。 @DanielGartmann 评论者问我的答案在 2017 年是否仍然正确。我认为是;您不能开箱即用地签署证书,您必须自己构建它。所以,如果你说那是错误的,你能解释为什么吗?但是您的第二条评论听起来更像是您在说其他答案在应用所提供的 API 的方式上是错误的(我同意这一点)。【参考方案3】:
import sun.security.x509.*;

import java.security.cert.*;
import java.security.*;
import java.math.BigInteger;
import java.security.cert.Certificate;
import java.util.Date;
import java.io.IOException;

public class Example 
    /**
     * Create a self-signed X.509 Example
     *
     * @param dn        the X.509 Distinguished Name, eg "CN=Test, L=London, C=GB"
     * @param pair      the KeyPair
     * @param days      how many days from now the Example is valid for
     * @param algorithm the signing algorithm, eg "SHA1withRSA"
     */
    public X509Certificate generateCertificate(String dn, KeyPair pair, int days, String algorithm)
            throws GeneralSecurityException, IOException 
        PrivateKey privkey = pair.getPrivate();
        X509CertInfo info = new X509CertInfo();
        Date from = new Date();
        Date to = new Date(from.getTime() + days * 86400000l);
        CertificateValidity interval = new CertificateValidity(from, to);
        BigInteger sn = new BigInteger(64, new SecureRandom());
        X500Name owner = new X500Name(dn);

        info.set(X509CertInfo.VALIDITY, interval);
        info.set(X509CertInfo.SERIAL_NUMBER, new CertificateSerialNumber(sn));
        info.set(X509CertInfo.SUBJECT, owner);
        info.set(X509CertInfo.ISSUER, owner);
        info.set(X509CertInfo.KEY, new CertificateX509Key(pair.getPublic()));
        info.set(X509CertInfo.VERSION, new CertificateVersion(CertificateVersion.V3));
        AlgorithmId algo = new AlgorithmId(AlgorithmId.md5WithRSAEncryption_oid);
        info.set(X509CertInfo.ALGORITHM_ID, new CertificateAlgorithmId(algo));

        // Sign the cert to identify the algorithm that's used.
        X509CertImpl cert = new X509CertImpl(info);
        cert.sign(privkey, algorithm);

        // Update the algorith, and resign.
        algo = (AlgorithmId) cert.get(X509CertImpl.SIG_ALG);
        info.set(CertificateAlgorithmId.NAME + "." + CertificateAlgorithmId.ALGORITHM, algo);
        cert = new X509CertImpl(info);
        cert.sign(privkey, algorithm);
        return cert;
    

    public static void main (String[] argv) throws Exception 
        KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
        KeyPair keyPair = keyPairGenerator.generateKeyPair();
        Example example = new Example();
        String distinguishedName = "CN=Test, L=London, C=GB";
        Certificate certificate = example.generateCertificateOriginal(distinguishedName, keyPair, 365, "SHA256withRSA");
        System.out.println("it worked!");
    

我喜欢 vbence 的回答,但我不断收到以下异常:

java.security.cert.CertificateException:主题类类型无效。

经过多次尝试找出 是一个有效的主题类后,我发现 X509CerInfo 想要一个 X500Name 的实例。

1 info.set(X509CertInfo.SERIAL_NUMBER, new CertificateSerialNumber(sn));
2 info.set(X509CertInfo.SUBJECT, new CertificateSubjectName(owner));
3 info.set(X509CertInfo.ISSUER, new CertificateIssuerName(owner));
4 info.set(X509CertInfo.KEY, new CertificateX509Key(pair.getPublic()));

所以需要将第 2 行和第 3 行更改为

2 info.set(X509CertInfo.SUBJECT, owner);
3 info.set(X509CertInfo.ISSUER, owner);

【讨论】:

【参考方案4】:

JRE 中提供了制作自签名证书的所有基本组件(签名、X509 编码等)。与 BC 不同,Sun 的 JCE 不提供任何公开调用来签署证书。但是,所有功能都在 Keytool 中可用。您可以简单地从 keytool 复制代码来执行此操作。你需要复制的方法是doSelfCert()

【讨论】:

不幸的是,Keytool 为此使用了sun.* 类。所以这不适用于每个 JRE。但是这里是source code【参考方案5】:

取决于您到底想做什么(可能还有您对“Sanely”的定义)。正如ZZ Coder所指出的,您可以通过复制keytool直接创建自签名证书。但我不相信您可以使用标准 JCE 创建 PKCS10 证书请求对象,如果您想创建标准 CA 签名的 EEC,您可能需要这样做。

【讨论】:

嗯,为什么不呢? Keytool 可以将自签名转换为 csr,您只需复制该代码即可。

以上是关于在没有 BouncyCastle 的情况下用 Java 创建 X509 证书?的主要内容,如果未能解决你的问题,请参考以下文章

有没有办法在不使用 viola-jones 算法的情况下用 opencv 检测人脸? [关闭]

Java中的构造方法与普通方法的区别? 啥情况下用构造方法啥情况下用普通的方法

SQL中啥情况下用引号

如何在没有隐式锁定最新的64位Intel CPU的情况下用寄存器交换堆栈顶部?

如何在没有core文件的情况下用dmesg+addr2line定位段错误

如何在没有core文件的情况下用dmesg+addr2line定位段错误