java - 如何以编程方式检查 X509 证书是否已在 Java Truststore 中？

Question

我正在开发一个客户端 GUI，它接受自签名服务器证书并将它们添加到信任库中，就像任何浏览器一样。问题是我的客户端应用程序每次启动时都要求提供证书，换句话说，它不记得证书已经在信任库中。我该如何实现？这就是我编写信任库文件的方式:

 public void WriteTrustStore(String alias, X509Certificate c){
    char[] password = "changeit".toCharArray();
    char SEP = File.separatorChar;
    keystoreFile = new File(System.getProperty("java.home")
            + SEP + "lib" + SEP + "security" + SEP + "cacerts");
    try {
        setTrustStore(trustStore);
        FileInputStream in = new FileInputStream(keystoreFile);
        trustStore.load(in, password);
        in.close();
        trustStore.setCertificateEntry(alias, c);
        FileOutputStream out = new FileOutputStream(keystoreFile);
        trustStore.store(out, password);
        out.close();
    } catch (KeyStoreException | NoSuchAlgorithmException | CertificateException | IOException e) {
        e.printStackTrace();
    }
}

然后我有另一种方法，我正在初始化我的 SSL 上下文并通过执行以下操作创建动态别名:

string alias = getHostname() + "-" + getPortname();

最后我有一个像这样的别名:

"myhost-5001"

然后我调用 WriteTrustStore(alias,certificate) 方法。

但是在程序的下一次执行运行中，如果我试图找到具有这个别名的证书，我总是会得到一个空指针异常。

我知道信任库文件具有如下属性:

trustStore.containsAlias(alias)

我试过了，

if(trustStore.containsAlias(alias) == false){
     WriteTrustStore(alias, (X509Certificate) cert)
     }
     else {
           System.out.Println("Certificate already in trust store!");
     }

但我仍然得到一个空指针异常。而且我知道别名为 myhost-5001 的证书在 Java 信任库中，我使用 keytool 和 portecle 进行了交叉检查。

感谢您的帮助!

Answer 1

我想通了，有两种方法可以做到这一点。

第一种方法

我在这里找到了这个:Check for trusted certificates ，您可以在其中枚举这样的别名:

Enumeration en = keystore.aliases();
String ALIAS = "" ;

X509Certificate signingcert = null;

while (en.hasMoreElements())
{
    X509Certificate storecert = null;
    String ali = (String)en.nextElement() ;
    if(keystore.isCertificateEntry(ali))
     {
        storecert = (X509Certificate)keystore.getCertificate(ali);
        if( (storecert.getIssuerDN().getName()).equals(issuerdn))
        {
         try{
            System.out.println("Found matching issuer DN cert in keystore:\r\nChecking signature on cert ...") ;
            cert.verify(storecert.getPublicKey()) ;
            System.out.println("Signature verified on certificate") ;
            signingcert = storecert;
            break;
          }
         catch(Exception exc){
            System.out.println("Failed to verify signature on certificate with matching cert DN");
          }             
        }           
    }
    else
     if(keystore.isKeyEntry(ali))
        System.out.println(ali + "   **** key entry ****");
}

第二种方法

只需创建一个副本证书，在信任库中查找具有您传递的别名的证书。

X509Certificate DuplicateCert = (X509Certificate) trustStore.getCertificate(alias);

第一种方法更安全，因为您也在查看 Issuer DN 但需要更长的时间，第二种方法简单且更短。

第二种方法对我来说就像一个魅力，你可以在这里找到完整的 GUI 代码审查，看看我是如何使用它的:JAX-WS client SSL code review