- 浏览: 306817 次
- 性别:
- 来自: 北京
文章分类
最新评论
-
lzy.je:
期待FSF的!1985.10成立到现在GNU有多少大牛的项目数 ...
改变IT世界的11大Apache开源技术 -
dotaking:
7、8不了解
改变IT世界的11大Apache开源技术
三、数字证书的签发(签名)
我们在上面创建好了数字证书,但这些数字证书还没有经过权威 CA的证实(即签名)。一般情况下,我们需要将这些证书发送给权威的CA,并申请其签名以确认数字证书让客户信任。
下面我们将模仿自己是一个权威的数字证书认证机构 CA,这个机构将采用自己的私钥来签发其它的证书。这个签发过程是这样的:我们自己是CA,我们自己有一个自签的数字证书存入数字证书库中。在数字证书库中的这个我们的CA数字证书,它含有私钥,公钥和我们这个CA的主体信息。下面这一个指令可以创建一个CA的自签的数字证书:
keytool –genkey –dname “CN=美森系统软件有限公司,OU=美森系统软件有限公司,O=美森系统软件有限公司,L=成都市,ST=四川省,C=中国” –alias MissionCA –keyalg RSA –keysize 1024 –keystore abnerCALib –keypass 200100 –storepass 100200 –validity 3650
上面,我们在 abnerCALib这个数字证书库中创建了一个别名为:missionCA、有效期为3650天、算法为RSA且密钥长度为1024的数字证书,这条证书的私钥密码为:200100,证书库的访问密码为:100200。这条别名为missionCA的证书代表我们自己的权威CA即:美森系统软件有限公司这个权威CA。以后我们将用这个证书来签名其它的数字证书。
现在我要给自己申请一个数字证书,我可以这么做:先在数字证书库中创建一条证书:
keytool –genkey –dname “CN=柴政,OU=美森系统软件有限公司,O=美森系统软件有限公司,L=成都市,ST=四川省,C=中国” –alias abnerCA –keyalg RSA –keysize 1024 –keystore abnerCALib –keypass 200100 –storepass 100200 –validity 3650
这样创建了一个别名为 abnerCA的数字证书,我们可以将它导出为cer文件(见前)。
接着,我们可以用上一步生成的 CA的自签证书来签名我这个数字证书了。
CA签名数字证书的过程需用以下程序来进行,这个程序是自解释的:
<!-- Code highlighting produced by Actipro CodeHighlighter (freeware) http://www.CodeHighlighter.com/ -->package com.security; import java.io.*; import java.security.*; import java.security.cert.*; import java.util.*; import java.math.*; import sun.security.x509.*; /** * <p>Description: 该程序根据签发者(CA)的证书信息(即CA的私钥)来对被签发者 * 的证书进行签名,过程即是使用CA的证书和被签证书来重构形成一个新的证书</p> * @author abnerchai * @version 1.0 */ public class SignCert { public static void main(String[] args) throws Exception{ char[] storepass = "100200".toCharArray(); //存放CA证书和被签证书的证书库的访问密码 char[] cakeypass = "200100".toCharArray();//CA数字证书条目的访问密码 String alias = "missionCA"; //CA证书在证书库中的别名,这个CA的证书用来签名其它的证书 String name = "abnerCALib";//存放CA证书和被签证书的证书库的名字 String newLib = "SignedLib"; //新证书库的名字,如果需要将签名后的证书放入新库,这是新库的名字 char[] newLibPass = "100200".toCharArray();//设置新库的访问密码 String cerFileName = "abnerCA.cer";//被签证书的证书文件名 String aliasName = "abnerCA";//被签证书在证书库中的alias别名 char[] namePass = "200100".toCharArray(); //被签证书的条目在证书库的私钥密码 int n =3; //被签证书的有效期,以年为单位,以当前时间开始计算 int sn = 200406001; //序列号可自己定义,这里定义的意义为2004年6月签发,是本年度CA签发的第多少个以001计算,要求唯一 String afteraliasName = "abnerCA_Signed"; //签名后新产生的被签过名的证书在库中的别名 char[] afterNewPass = "200100".toCharArray(); //签名后新产生的被签过名的证书在库的条目的私钥的密码 //装载证书库 FileInputStream in = new FileInputStream(name); KeyStore ks = KeyStore.getInstance("JKS");//JKS为证书库的类型 ks.load(in,storepass); //从证书库中读出签发者(CA)的证书 java.security.cert.Certificate cl = ks.getCertificate(alias); //读出一个CA证书,这里的l是字母l不是数据字1 PrivateKey privateKey = (PrivateKey)ks.getKey(alias,cakeypass); //根据别名和证书密码读出CA证书的私钥 in.close(); //从证书库中读出的签发者(CA)的证书中提取签发者的信息 byte[] encodl = cl.getEncoded();//提取证书的编码,这里是字母l不是数据字1 X509CertImpl cimpl = new X509CertImpl(encodl); //这里是字母l不是数据字1,根据证书的编码创建X509CertImpl类型的对象 //根据上面的对象获得X509CertInfo类型的对象,该对象封装了证书的全部内容。 X509CertInfo cinfo_first = (X509CertInfo)cimpl.get(X509CertImpl.NAME+"."+X509CertImpl.INFO); //然后获得X500Name类型的签发者信息 X500Name issuer = (X500Name) cinfo_first.get(X509CertInfo.SUBJECT+"."+CertificateIssuerName.DN_NAME); //获取待签发的证书,即获取被签发者的证书 //可从密钥库中获取,也可从导出的证书文件中获取,这里给出两种方式 //////////////////////////////////////////////////////////////////////// //方式一、采用从导出的cer文件中获取 start /////////////////////////////////////////////////////////////////////////////// /* CertificateFactory cf = CertificateFactory.getInstance("X.509"); //X.509是使用最多的一种数字证书标准 FileInputStream in2 = new FileInputStream(cerFileName);//被签证书文件 java.security.cert.Certificate c2 = cf.generateCertificate(in2); //生成需要被签的证书 in2.close(); byte[] encod2 = c2.getEncoded(); X509CertImpl cimp2 = new X509CertImpl(encod2); //获得被签证书的详细内容,然后根据这个证书生成新证书 X509CertInfo cinfo_second = (X509CertInfo)cimp2.get(X509CertImpl.NAME+"."+X509CertImpl.INFO); */ /////////////////////////////////////////////////////////////////////////////// //end 方式一 /////////////////////////////////////////////////////////////////////////////// /////////////////////////////////////////////////////////////////////////////// //方式二、从证书库中读出被签的证书 start /////////////////////////////////////////////////////////////////////////////// java.security.cert.Certificate c3 = ks.getCertificate(aliasName); //从证书库中读出被签证书,然后生成新的证书 byte[] encod3 = c3.getEncoded(); X509CertImpl cimp3 = new X509CertImpl(encod3); X509CertInfo cinfo_second = (X509CertInfo)cimp3.get(X509CertImpl.NAME+"."+X509CertImpl.INFO); /////////////////////////////////////////////////////////////////////////// //end方式二 /////////////////////////////////////////////////////////////////////////// //设置新证书的有效期,使之为当前向后n年有效,新证书的 //截止日期不能超过CA证书的有效日期 Date beginDate = new Date(); Calendar cal = Calendar.getInstance(); cal.setTime(beginDate); cal.add(cal.YEAR,n); Date endDate = cal.getTime(); CertificateValidity cv = new CertificateValidity(beginDate,endDate); cinfo_second.set(X509CertInfo.VALIDITY,cv); //设置新证书的序列号 CertificateSerialNumber csn = new CertificateSerialNumber(sn); cinfo_second.set(X509CertInfo.SERIAL_NUMBER,csn); //设置新证书的签发者 cinfo_second.set(X509CertInfo.ISSUER+"."+CertificateIssuerName.DN_NAME,issuer); //新的签发者是CA的证书中读出来的 //设置新证书的算法,指定CA签名该证书所使用的算法为md5WithRSA AlgorithmId algorithm = new AlgorithmId(AlgorithmId.md5WithRSAEncryption_oid); cinfo_second.set(CertificateAlgorithmId.NAME+"."+ CertificateAlgorithmId.ALGORITHM,algorithm); //创建新的签名后的证书 X509CertImpl newcert = new X509CertImpl(cinfo_second); //签名,使用CA证书的私钥进行签名,签名使用的算法为MD5WithRSA newcert.sign(privateKey,"MD5WithRSA");//这样便得到了经过CA签名后的证书 //把新证书存入证书库 //把新生成的证书存入一个新的证书库,也可以存入原证书库, //存入新证书库,则新证书库中不仅包含原证书库中的所有条目, //而且新增加了一个这次产生的条目。注意,这时,新产生的签名后的证书只 //包括公钥和主体信息及签名信息,不包括私钥信息。这里给出两种方式。 /////////////////////////////////////////////////////////////////////////// //方式一:存入新密钥库 /////////////////////////////////////////////////////////////////////////// /* ks.setCertificateEntry(afteraliasName,newcert); FileOutputStream out = new FileOutputStream(newLib); //存入新库signedLib,并设置新库的库访问密码 ks.store(out,newLibPass); out.close(); */ /////////////////////////////////////////////////////////////////////////// //end 方式一 /////////////////////////////////////////////////////////////////////////// //也可以采用另外一种方式,存入原证书库中 //存入原库中,即在原证书库中增加一条证书,这个证书是原证书经过签名后的证书 //这个新证书含有私钥和私钥密码 /////////////////////////////////////////////////////////////////////////// //方式二,存入原密钥库 /////////////////////////////////////////////////////////////////////////// //先在原库中读出被签证书的私钥 PrivateKey prk = (PrivateKey)ks.getKey(aliasName,namePass); java.security.cert.Certificate[] cchain = {newcert}; //存入原来的库,第二个参数为原证书的私钥,第三个参数为新证书的私钥密码,第三个参数为新证书 ks.setKeyEntry(afteraliasName,prk,afterNewPass,cchain); //用新密钥替代原来的没有签名的证书的密码 FileOutputStream out2 = new FileOutputStream(name); ks.store(out2,storepass);//存入原来的库中,第二个参数为该库的访问密码 /////////////////////////////////////////////////////////////////////////// //end 方式二 /////////////////////////////////////////////////////////////////////////// } }
运行以上程序,即可运用 MissionCA证书来签发abnerCA证书,运行后在abnerCALib中增加一条别名为abnerCA_Signed的数字证书,我们将它导出为cer文件(导出方法见前)。
至此,我们己经用 CA的证书以我们的数字证书签名了。在windows中,双击导出的abnerCA_Signend.cer文件,出现如下图所示:
上图中证书信息一栏显示“不能验证该证书”,原因是因为,我们的这个数字证书的签发者 missionCA证书没有安装到系统中。我们可以将证书库中别名为missionCA的自签数字证书导出为cer文件,然后安装到系统中。再次查双击看此证书,如下图所示:
到此,我们己经获得了一个由我们自己的 CA签名颁发的个人数字证书。并且将我们自己的CA证书安装到系统中成为系统信任的根证书。于是,以后只要是由我们的这个CA证书签名颁发的数字证书都会受到系统的信任。
发表评论
-
java中文问题的分类
2008-12-23 13:12 704中文问题的分类及其建议最优解决办法 <?xml:name ... -
Java编程—多态性
2009-01-05 17:46 668Java编程—多态性 8.5. ... -
Java编程——继承(二)
2009-01-05 17:48 578方法覆盖 前面介绍了继承的一些基础知识,现在介绍一 ... -
Java编程——类(二)
2009-01-05 18:01 5718.2.2.3 构造方法声明 构 ... -
详细解析Java中抽象类和接口的区别
2009-01-06 13:46 605在Java语言中, abstract ... -
[强列推荐]关于java的hashCode方法
2009-03-12 11:39 750[强列推荐]关于java的hashCode方法 有许多人学了 ... -
Java类完整的构造执行顺序
2009-04-02 11:17 1002Java类完整的构造执 ... -
java异常机制介绍
2009-04-28 14:35 769java异常机制介绍 Java 语言要求 java ... -
Java安全通信、数字证书及应用实践
2009-05-31 11:54 744Java安全通信、数字证书及应用实践【IT168 技术文档】一 ... -
Java安全通信、数字证书及应用实践
2009-05-31 11:55 803二、 Java中的数字证书 ... -
Java安全通信、数字证书及应用实践
2009-05-31 12:03 829四、运行我们的 applet 我们来写一个 html文件来 ... -
Java调用批处理或可执行文件
2009-06-24 15:24 879Java调用批处理或可执 ... -
Java SE 6 新特性: JMX 与系统管理
2009-06-29 14:39 7522006 年底,Sun 公司发布了 Java St ... -
Java:接口回调
2009-07-08 17:32 1044Java:接口回调 接口回调是指:可 ... -
Java Exception 处理之最佳实践
2009-07-08 17:48 650关键字: java/java编程 本文是Except ... -
JAVA对数字证书的常用操作
2009-07-10 10:54 692一需要包含的包 import java.security.* ... -
Java网络编程
2009-07-13 11:12 8681. 什么是TCP/ IP协议? 2. TCP/IP有哪 ... -
java 常用知识
2009-07-13 11:25 7011:关于设置的classpath: 1) ... -
Java语言中的面向对象特性
2009-07-13 11:33 1116课前索引 【课前思考 ...
相关推荐
java安全通信数字证书
Java 安全通信、 数字证书及应用实践
实现java代码生成cer证书文件,然后可以通过代码获取 不通过keytool工具。生成密钥对。使用公钥加密。
使用TOMCAT和JDK搭建SSL服务, JAVA获取数字证书项, 如何用OPENSSL签发证书, 支持第三方CA
本文主要介绍java建立SSL安全通信以及数字证书的制作与使用
数据包监控和安全通信数字证书
java 实现的数字对数字证书的管理的客户端,包含功能:数字证书的创建(初始化),内容查看,pin码修改,导入与导出,数字证书的删除,服务器端简单验证不同持有不同数字证书的用户的不同权限
学习RSA算法,读取数字证书中的私钥对文件进行加密,使用数字证书的公钥解密,这种方式就是RSA算法.
Java开发的数字证书、数字签名模块源码。
java通信安全主要包括:md5 密码加密与验证 对称加密与解密 非对称加密以解密 基于MD5信息摘要算法实现密码加密与验证 凯撒加密算法 数字签名与验证 消息验证码 消息摘要 所有程序都经过了测试
java 生成 数字证书
证书解析函数、随机数函数、签名验证函数、加解密函数、时间戳函数以及数据服务函数u通过以上 函数的定义,可以提供完菩的证书应用服务功能,有利于提升电子政务业务系统的安全等级,促进数字证书在各系统间的兼容性...
自己努力写的一个java数字证书的源码,实现了自签名证书和颁发新的数字证书功能
java rsa证书加密,crt、pem、pfx、cer等 内附工具
Java中的数字证书的生成及维护方法,非常适合初学者参考.
Java平台及应用Java技术的安全问题研究,关于这方面的可以一看
在WEB应用中使用基于数字证书的登录验证
java 国密算法实现,包含SM2 SM3 SM4和数字签名、数字证书的验证以及相应的说明文档
《分布式Java应用基础与实践》pdf电子版,