Generieren von Zertifikaten, öffentliche und private Schlüssel mit Java

Ich bin auf der Suche nach eine java-Bibliothek oder den code zu generieren Zertifikate, öffentliche und private Schlüssel
on-the-fly, ohne die Verwendung von third-party-Programme (wie z.B. openssl).

Ich denke, etwas, das ist doeing keytool+openssl aber von Java-code.

Betrachten ein java-servlet-basierte web-Anwendung gesichert mit ssl und client-Authentifizierung.
Ich will das servlet container generieren von client-Zertifikaten (zB. pkcs12-format) auf Anfrage nur mit Java-code.

Bouncy Castle crypto-Bibliotheken sind ziemlich umfassend.
Alternativ können Sie nur aufrufen, die SUN java-keytool-Klasse und geben Sie die benötigten Parameter zum generieren der Zertifikate. Aber diese Klassen sind in der com.Sonne* - Paket und ggf. ändern. In der Theorie ist alles vorhanden in Java, um eigene Zertifikate erstellen, aber es ist nicht öffentlich verfügbar.
Verwandte: stackoverflow.com/questions/29852290/...

InformationsquelleAutor PeterMmm | 2009-05-29

  1. 10

    Können Sie generate Certificate in java dynamisch mit einem paar oder Schlüssel. (Öffentlicher Schlüssel, Privater Schlüssel). Diese Schlüssel als BigInteger-format und überprüfen Sie den folgenden code zum generieren Zertifikat.

    RSAPrivateKeySpec serPrivateSpec = new RSAPrivateKeySpec(
    new BigInteger(val of pub key), new BigInteger(val of pri key));
fact = KeyFactory.getInstance("RSA");
PrivateKey serverPrivateKey = fact.generatePrivate(serPrivateSpec);

RSAPublicKeySpec serPublicSpec = new RSAPublicKeySpec(
    new BigInteger(agentCL.getSerPubMod()), new BigInteger(agentCL.getSerPubExp()));
PublicKey serverPublicKey = fact.generatePublic(serPublicSpec);

keyStore = KeyStore.getInstance(IMXAgentCL.STORE_TYPE);
keyStore.load(null, SOMEPWD.toCharArray());

Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());

X509Certificate[] serverChain = new X509Certificate[1];
X509V3CertificateGenerator serverCertGen = new X509V3CertificateGenerator();
X500Principal serverSubjectName = new X500Principal("CN=OrganizationName");
serverCertGen.setSerialNumber(new BigInteger("123456789"));
//X509Certificate caCert=null;
serverCertGen.setIssuerDN(somename);
serverCertGen.setNotBefore(new Date());
serverCertGen.setNotAfter(new Date());
serverCertGen.setSubjectDN(somename);
serverCertGen.setPublicKey(serverPublicKey);
serverCertGen.setSignatureAlgorithm("MD5WithRSA");
//certGen.addExtension(X509Extensions.AuthorityKeyIdentifier, false,new
//AuthorityKeyIdentifierStructure(caCert));
serverCertGen.addExtension(X509Extensions.SubjectKeyIdentifier, false,
    new SubjectKeyIdentifierStructure(serverPublicKey));
serverChain[0] = serverCertGen.generateX509Certificate(serverPrivateKey, "BC"); //note: private key of CA

keyStore.setEntry("xyz",
    new KeyStore.PrivateKeyEntry(serverPrivateKey, serverChain),
    new KeyStore.PasswordProtection("".toCharArray()));

    Hoffe, dies wird Ihnen helfen.

    Nur durch hinzufügen der Hüpfburg JSSE-provider, die Sie noch nicht erwähnt habe, in Ihrer Antwort.

    InformationsquelleAutor Sekhar

  2. 2

    Legacy Warnung Beginnen:

    • Dieser code stellt nur die CommonName/CN/Thema.
    • Der richtige Ort, jetzt ist die SubjectAltName.

    Vom Chrome Deprecates Thema CN-Passende:

    Chrome 58 wird verlangen, dass die Zertifikate geben Sie den Hostnamen(s), für die Sie gelten in der SubjectAltName-Feld; Werte in das Feld Betreff wird ignoriert."

    Legacy-Warnung Ende

    import java.io.FileOutputStream;
import java.security.KeyStore;
import java.security.PrivateKey;
import java.security.cert.X509Certificate;
import java.util.Date;

import sun.security.x509.CertAndKeyGen;
import sun.security.x509.X500Name;

public class UseKeyTool {

    private static final int keysize = 1024;
    private static final String commonName = "www.test.de";
    private static final String organizationalUnit = "IT";
    private static final String organization = "test";
    private static final String city = "test";
    private static final String state = "test";
    private static final String country = "DE";
    private static final long validity = 1096; //3 years
    private static final String alias = "tomcat";
    private static final char[] keyPass = "changeit".toCharArray();

    //copied most ideas from sun.security.tools.KeyTool.java

    @SuppressWarnings("restriction")
    public static void main(String[] args) throws Exception {

        KeyStore keyStore = KeyStore.getInstance("JKS");
        keyStore.load(null, null);

        CertAndKeyGen keypair = new CertAndKeyGen("RSA", "SHA1WithRSA", null);

        X500Name x500Name = new X500Name(commonName, organizationalUnit, organization, city, state, country);

        keypair.generate(keysize);
        PrivateKey privKey = keypair.getPrivateKey();

        X509Certificate[] chain = new X509Certificate[1];

        chain[0] = keypair.getSelfCertificate(x500Name, new Date(), (long) validity * 24 * 60 * 60);

        keyStore.setKeyEntry(alias, privKey, keyPass, chain);

        keyStore.store(new FileOutputStream(".keystore"), keyPass);



    }
}
    DNS-Namen sind nicht soll in der commonName (unter der Annahme, dass ist, wo seine angelegt werden soll im code oben). Die Praxis ist veraltet, sowohl von der IETF und des CA/Browser Forums. DNS-Namen müssen gehen in die subjectAltNames, aber der code fehlt.
    DigiCert scheint zu widersprechen: "Zur Sicherung example.com, Ihr gemeinsamer name sein muss http://www.example.com oder *.example.com für ein wildcard-Zertifikat." digicert.com/easy-csr/keytool.htm
    Check out RFC 6125, Abschnitt 6.4.4-oder das CA/Browser Baseline Security Anforderungen, Abschnitt 9.2.2. DidgiCert besser wissen sollten, da Sie ein Mitglied des CA/B.
    Wenn Sie zu verwalten, erstellen Sie ein Zertifikat für den Tomcat oder eine andere Java-web-server mit der domain nur in den subjectAltNames und den link hier posten und es funktioniert ( andere dann als self signed ) werde ich auf meiner Antwort, da habe ich starke Zweifel, das wird funktionieren. Es wäre in der RFC aber manchmal ist die echte Welt verhält sich anders.
    Ich stehe korrigiert: "Chrome 58 wird verlangen, dass die Zertifikate geben Sie den Hostnamen(s), für die Sie gelten in der SubjectAltName-Feld; Werte in das Feld Betreff wird ignoriert." textslashplain.com/2017/03/10/... Sie hatten Recht und ich lag falsch!

    InformationsquelleAutor Ray Hulha

Schreibe einen Kommentar