Wie kann ein Fingerabdruck eines X509-Zertifikats in Java abgerufen / berechnet werden?

Ich habe ein java-client, der Aufruf eines web-service-operation, die dauert ein Zertifikat "Fingerabdruck" als parameter. Ich glaube, der Fingerabdruck ist eine Art der SHA1-hash in hexadezimal format-string, der das Zertifikat für den öffentlichen Schlüssel, aber ich bin mir nicht sicher.

Den .NET framework scheint zu gehören ein einfacher Weg, um diesen Wert (X509Certificate2.Fingerabdruck- Eigenschaft). Anzeigen ein .cer Datei-Eigenschaften im Windows zeigt auch den Fingerabdruck, sieht wie folgt aus:

a6 9c fd b0 58 0d a4 ee ae 9a 47 75 24 c3 0b 9f 5d b6 1c 77

Meine Frage ist daher: weiß jemand, wie das abrufen oder berechnen Sie diese Fingerabdruck-Zeichenfolge in Java, wenn ich eine Instanz einer java.Sicherheit.cert.X509Certificate?

Kommentar zu dem Problem

Diese Java demo (URLConnection) - Programm stellt eine Verbindung zu einer https-url und Drucke/berechnet alle Arten von Fingerabdrücken, einschließlich pin-sha256, SKI-und Fingerabdrücke: github.com/ecki/JavaCryptoTest/blob/master/src/main/java/net/... Kommentarautor: eckes

InformationsquelleAutor der Frage Matt Z | 2009-08-13

certificate java

Den SHA-1-hash des DER Codierung des Zertifikats ist es, was .NETTO ist immer mit X509Certificate2.Fingerabdruck.

Wie bereits auf der Bemerkungen auf der MSDN-Website:

Den Fingerabdruck dynamisch generiert werden, mit dem SHA1-Algorithmus und nicht physisch vorhanden sind, in das Zertifikat. Da der Fingerabdruck ist ein eindeutiger Wert für das Zertifikat, es wird allgemein verwendet, um ein bestimmtes Zertifikat in einen Zertifikatspeicher.

Java-standard-Bibliothek nicht den Fingerabdruck direkt, aber Sie können es bekommen wie diese:

DatatypeConverter.printHexBinary(
        MessageDigest.getInstance("SHA-1").digest(
                cert.getEncoded())).toLowerCase();

Hier ist ein komplettes Beispiel mit einer bequem zugänglichen PEM-Datei:

Erstellen stackoverflow.crt.pem -:

Erstellen X509.java:

import javax.xml.bind.DatatypeConverter;
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.security.cert.CertificateEncodingException;
import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;
import java.security.cert.X509Certificate;

public final class X509 {
    public static void main(String[] args)
            throws FileNotFoundException, CertificateException, NoSuchAlgorithmException {
        FileInputStream is = new FileInputStream(args[0]);
        CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
        X509Certificate cert = (X509Certificate) certificateFactory.generateCertificate(is);
        String thumbprint = getThumbprint(cert);
        System.out.println(thumbprint);
    }

    private static String getThumbprint(X509Certificate cert)
            throws NoSuchAlgorithmException, CertificateEncodingException {
        MessageDigest md = MessageDigest.getInstance("SHA-1");
        byte[] der = cert.getEncoded();
        md.update(der);
        byte[] digest = md.digest();
        String digestHex = DatatypeConverter.printHexBinary(digest);
        return digestHex.toLowerCase();
    }
}

Kompilieren Sie das Programm mit Java-8:

javac X509.java

- Oder Java-9 - durch modulare JDK/JPMS - DataTypeConverter ist nicht in java.Basis, aber java.xml.binden, so müssen Sie explizit von ihm abhängen, während Ihr bauen:

javac --add-modules java.xml.bind X509.java

Sonst, auf Java 9, erhalten Sie diese, wenn Sie versuchen, es zu bauen:

X509.java:3: error: package javax.xml.bind is not visible
        import javax.xml.bind.DatatypeConverter;
        ^
        (package javax.xml.bind is declared in module java.xml.bind, which is not in the module graph)
        1 error

Ausführen mit Java 8:

java X509 stackoverflow.crt.pem

In Java-9 - durch modulare JDK/JPMS - DataTypeConverter ist nicht in java.Basis, aber java.xml.binden, so müssen Sie explizit von ihm abhängen, wenn Sie mit Ihrem Programm:

java --add-modules java.xml.bind X509 stackoverflow.crt.pem

Sonst, auf Java 9, erhalten Sie diese, wenn Sie versuchen, Sie auszuführen:

Exception in thread "main" java.lang.NoClassDefFoundError: javax/xml/bind/DatatypeConverter
    at X509.getThumbPrint(X509.java:29)
    at X509.main(X509.java:19)
    Caused by: java.lang.ClassNotFoundException: javax.xml.bind.DatatypeConverter
    at java.base/jdk.internal.loader.BuiltinClassLoader.loadClass(BuiltinClassLoader.java:582)
    at java.base/jdk.internal.loader.ClassLoaders$AppClassLoader.loadClass(ClassLoaders.java:185)
    at java.base/java.lang.ClassLoader.loadClass(ClassLoader.java:496)
    ... 2 more

Erhalten die erwartete Ausgabe:

47adb03649a2eb18f63ffa29790818349a99cab7

InformationsquelleAutor der Antwort ZZ Coder

36

Mithilfe von Apache Commons Codec, die Sie tun können:
```
DigestUtils.sha1Hex(cert.getEncoded())
```
InformationsquelleAutor der Antwort Martin Ždila
5

Erzeugen können Sie den Fingerabdruck mithilfe des openssl-Befehl, also beispielsweise, wenn Sie das pem-format des Zertifikats in eine Datei (file.txt)

dann:

cat file.txt | openssl x509 -sha1 -fingerprint - dies erzeugt die gleichen Fingerabdruck

InformationsquelleAutor der Antwort Clarence

One-liner über die Google - Guave

String sha256AsHex = Hashing.sha256().hashBytes(x509Certificate.getEncoded()).toString();

InformationsquelleAutor der Antwort Ahmad Abdelghany

-9

Hier einen einfacheren Weg:

using System.Security.Cryptography.X509Certificates;    

X509Certificate2 xcert = new X509Certificate2("C:\some_cert.cerpub");
string certSubject = xcert.Subject;
string certThumbprint =  xcert.Thumbprint;

InformationsquelleAutor der Antwort jay-nbt

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.