gpt4 book ai didi

java - 根据 Java 中的自定义信任列表检查证书有效性

转载 作者:搜寻专家 更新时间:2023-11-01 02:58:53 29 4
gpt4 key购买 nike

我有一份使用 CAdES 进行数字签名的文档。我使用 BouncyCaSTLe API 获取签名者的 X509Certificate[] 实例,但我们假设该列表仅包含一个元素。

我需要在今天验证此证书是否受信任,并且我不想使用通常用于信任 SSL 证书的系统标准信任库。不,我想在我的类路径中使用 .cer 文件列表构建我自己的信任列表。目前,单个 CA 是受信任的,但显然将来可能会添加更多证书。

到目前为止,我已经阅读了 this 并尝试在我的代码中实现。我不需要 SSLContext,我需要检查数字签名文档的有效性。我现在很困惑。

X509TrustManager 然而,API 仅提供验证客户端/服务器证书的方法,而我的 API 仅具有数字签名/不可否认性使用标志。

问题可以用两种方式来表达:

  1. Java 中如何根据可加载到内存中的自定义根 CA 列表检查 X509Certificate 实例的有效性?
  2. 如何检查数字签名文档是否使用从自定义列表的已知 CA 派生的证书签名?

最佳答案

从每个签名者的 CAdES 签名中提取签名者的证书以及作为 X509Certificate 列表的中间证书。还构建一个包含所有根 CA 证书的集合

然后你可以使用这个(稍微改编)example code使用 Java 和 BouncyCaSTLe 来验证和构建认证链。验证成功返回认证链

public PKIXCertPathBuilderResult verifyCertificateChain(
X509Certificate cert,
Set<X509Certificate> trustedRootCerts,
Set<X509Certificate> intermediateCerts) throws GeneralSecurityException {

// Create the selector that specifies the starting certificate
X509CertSelector selector = new X509CertSelector();
selector.setCertificate(cert);

// Create the trust anchors (set of root CA certificates)
Set<TrustAnchor> trustAnchors = new HashSet<TrustAnchor>();
for (X509Certificate trustedRootCert : trustedRootCerts) {
trustAnchors.add(new TrustAnchor(trustedRootCert, null));
}

// Configure the PKIX certificate builder algorithm parameters
PKIXBuilderParameters pkixParams =
new PKIXBuilderParameters(trustAnchors, selector);

// Disable CRL checks (this is done manually as additional step)
pkixParams.setRevocationEnabled(false);

// Specify a list of intermediate certificates
// certificate itself has to be added to the list
intermediateCerts.add(cert);
CertStore intermediateCertStore = CertStore.getInstance("Collection",
new CollectionCertStoreParameters(intermediateCerts), "BC");
pkixParams.addCertStore(intermediateCertStore);

// Build and verify the certification chain
CertPathBuilder builder = CertPathBuilder.getInstance("PKIX", "BC");
PKIXCertPathBuilderResult result =
(PKIXCertPathBuilderResult) builder.build(pkixParams);
return result;
}

如果你不想处理复杂的 CAdES,我建议使用 SD-DSS开源项目

关于java - 根据 Java 中的自定义信任列表检查证书有效性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42527241/

29 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com