在 Tomcat 中读出传入的证书

Posted 2023-02-26

【中文标题】在 Tomcat 中读出传入的证书

【英文标题】：Read out incoming certificate in Tomcat

【发布时间】：2012-08-10 07:32:54

【问题描述】：

我使用带有客户端身份验证的 tomcat http 连接器。如果客户端启动到我的服务器的新连接并发送他的证书，我可以获取证书并从我的 java 代码中的传入证书中读取公用名。如果是，怎么做？

谢谢 阿迪

【问题讨论】：

coderanch.com/t/438788/Security/Read-client-certificate-Servlet 看帖子的结尾。祝你好运！

【参考方案1】：

您可以通过获取HttpServletRequest 上的javax.servlet.request.X509Certificate 属性来获取客户端证书链。这是X509Certificates 的数组，其中第一个（位置 0）是实际的客户端证书（如果需要中间 CA 证书，则可能存在链的其余部分）。

X509Certificate certs[] = 
    (X509Certificate[])req.getAttribute("javax.servlet.request.X509Certificate");
// ... Test if non-null, non-empty.

X509Certificate clientCert = certs[0];

// Get the Subject DN's X500Principal
X500Principal subjectDN = clientCert.getSubjectX500Principal();

然后您可以在此主体（例如 CN）中获取各种 RDN（相对专有名称），如 this answer 中所述：

import javax.naming.ldap.LdapName;
import javax.naming.ldap.Rdn;

String dn = subjectDN.getName();
LdapName ldapDN = new LdapName(dn);
for(Rdn rdn: ldapDN.getRdns()) 
    System.out.println(rdn.getType() + " -> " + rdn.getValue());

（您也可以使用 BouncyCastle 的 X509Name 来获取每个 RDN。）

在 X.509 证书中，Subject DN 是 RDN 的有序序列，每个 RDN 都是一组 AVA（属性值断言），例如 CN=... 或 O=...。原则上，每个 RDN 可以有多个 AVA，这会在这里引起问题，但这种情况非常罕见。您几乎可以假设每个 RDN 只有一个 AVA。 （也许this answer 可能会感兴趣。）

【讨论】：

谢谢，对于使用axis2但不知道如何使用HttpServletRequest的每个人来说，第一次尝试一切都很好:-)：MessageContext context = MessageContext.getCurrentMessageContext(); HttpServletRequest requestProperty = (HttpServletRequest) context.getProperty(HTTPConstants.MC_HTTP_SERVLETREQUEST);

req.getAttribute("javax.servlet.request.X509Certificate") 为空。是否需要从相同的匹配域发送请求？我也在本地（使用本地主机）机器和开发服务器上尝试过。

@TechnoCrat 这可能意味着（a）您的服务器未配置为请求/要求客户端证书或（b）它在请求客户端证书时发送的证书颁发机构列表不匹配您机器上的任何客户端证书。这实际上不是关于“域”匹配，而是关于 CA 匹配。

是否需要强制将客户端证书导入服务器密钥库以从客户端证书中提取/读取一些信息？我从浏览器手动导出证书，然后尝试从中读取信息并获得成功，但没有导出并使用 req.attribute 方法在服务器上获取 null。

@TechnoCrat 这是用于颁发客户端证书的 CA 证书，您需要在服务器信任库（而不是密钥库）中拥有该证书。

【参考方案2】：

感谢mazaneicha：

        String cipherSuite = (String) req.getAttribute("javax.servlet.request.cipher_suite");

        if (cipherSuite != null) 
            X509Certificate certChain[] = (X509Certificate[]) req.getAttribute("javax.servlet.request.X509Certificate");
            if (certChain != null) 
                for (int i = 0; i < certChaNin.length; i++) 
                    System.out.println ("Client Certificate [" + i + "] = "
                            + certChain[i].toString());
                
            
        

【讨论】：

您无需先获取和测试密码套件。