【5.如何验证 数字证书的有效性】

最新推荐文章于 2024-09-09 01:15:00 发布
原创 最新推荐文章于 2024-09-09 01:15:00 发布 · 5.2k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#证书验证 #CA #数字证书

本文介绍如何使用Java代码验证数字证书的正确性和来源。通过从吾爱网站和优快云下载的末端证书及上级CA证书,演示了如何读取CA公钥,使用公钥验证证书,区分真实与伪造证书。

1. 数字证书由 CA 签发给用户,CA 保证它的安全和可靠性,使用CA的私钥对证书进行签名,使用 CA的公钥验证签名。

通过Java的代码演示,分别从 吾爱 网站下载了 它的末端证书、它的上级CA证书,以及 从 优快云下载了 末端证书。

使用 吾爱的 上级CA 分别验证 吾爱的用户证书 和 优快云的用户证书,查看区别。

 

package verify;

import java.io.File;
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.security.NoSuchProviderException;
import java.security.PublicKey;
import java.security.SignatureException;
import java.security.cert.Certificate;
import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;

public class Verify_cert {

	/**
	 * 验证 CA 颁发的证书
	 * 1. 读取 CA 证书的公钥
	 * 2. 读取已签名的证书
	 * 3. 使用 公钥验证证书
	 * 
	 * 4. 附加,一个假的证书测试,是否有效
	 * @param args
	 * @throws Exception 
	 */
	public static void main(String[] args) throws Exception {
		
		String ca_path = "C:\\Users\\Administrator\\Desktop\\ttt\\Cert_test\\ca_52.cer";
		String ra_path = "C:\\Users\\Administrator\\Desktop\\ttt\\Cert_test\\user_52.cer";
		String ra_path_fake = "C:\\Users\\Administrator\\Desktop\\ttt\\Cert_test\\user_csdn.cer";
		
		verify_cert(ca_path, ra_path, ra_path_fake);
	}
	/**
	 * 1. 使用 CA 的公钥 验证 证书
	 * @param ca_52_path
	 * @param user_52_path
	 * @param user_csdn_path
	 * @throws InvalidKeyException
	 * @throws CertificateException
	 * @throws NoSuchAlgorithmException
	 * @throws NoSuchProviderException
	 * @throws FileNotFoundException
	 */
	public static void verify_cert(String ca_52_path,String user_52_path,String user_csdn_path) throws InvalidKeyException, CertificateException, NoSuchAlgorithmException, NoSuchProviderException, FileNotFoundException{
		
		//  证书实例,将文件输入流 转换为 证书
		CertificateFactory cf = CertificateFactory.getInstance("X.509");
			
		// 读取 ca 证书 文件,获取证书的 公钥
		FileInputStream fis_ca = new FileInputStream(new File(ca_52_path));
		Certificate ca_52_cert = cf.generateCertificate(fis_ca);
		PublicKey ca_52_publicKey = ca_52_cert.getPublicKey();
		
		// 读取末端证书,获取证书
		FileInputStream fis_ra = new FileInputStream(new File(user_52_path));
		FileInputStream fis_ra_fake = new FileInputStream(new File(user_csdn_path));	
		Certificate user_52_cert = cf.generateCertificate(fis_ra);
		Certificate user_csdn_cert = cf.generateCertificate(fis_ra_fake);
		
		// 验证证书是由 某公钥签发的:使用公钥对 该证书信息解密得到签名值 一致,或者 使用公钥对 签名值 解密,得到 证书信息一致
		try {
			user_52_cert.verify(ca_52_publicKey);
		} catch (SignatureException e) {
			System.out.println("该证书不属于 此CA签发.");
		}
		System.out.println("该证书 属于 此CA签发");
		try {
			user_csdn_cert.verify(ca_52_publicKey);
		} catch (SignatureException e) {
			System.out.println("该证书不属于 此CA签发.");
		}
	}
}

显示如下:

未完待续。

X.509数字证书的签名和指纹
jasonj333
04-25 948
X.509 是一种非常普遍的数字证书标准,由国际电信联盟(ITU)制定。它定义了证书的格式和一种验证证书有效性的方法。X.509 证书的结构遵循特定的语法和编码规则,通常使用 ASN.1 (Abstract Syntax Notation One) 进行描述和编码。
数字证书有效性验证
11-20 1万+
数字证书有效性验证主要从三个方面:1,数字证书有效期验证                                                                  2,根证书验证                                                                  3,CRL验证 下面依次讲解这三块内容
验证数字证书有效性
weixin_34390996的博客
01-10 937
#此文来自于知乎的匿名用户 要想验证证书是否有效,要检查三点: 1. 验证证书是否在有效期内。 证书中会包含证书的有效期的起始时间和结束时间,取一个时间点去比较就好了。 关键问题是如何保证取到的时间点是可信的,这就是另外一个话题了。 2. 验证证书是否被吊销了。 被吊销的证书是无效的。 验证吊销有CRL和OCSP两种方法。 CRL即证书吊销列表。证书被吊销后...
java 数字证书验签_Java使用数字证书加密通信(加解密/加签验签)
weixin_39982269的博客
12-20 440
本文中使用的Base64Utils.java可参考:http://www.cnblogs.com/shindo/p/6346618.html证书制作方法可参考:http://www.cnblogs.com/shindo/p/6346971.html===========================工具类如下:CertificateUtils.javapackage com.mes.util;i...
数字证书有效性验证
wsc的博客
05-08 3683
分为三步: 1.数字证书有效期验证 就是说证书的使用时间要在起始时间和结束时间之内。通过解析证书很容易得到证书的有效期 2.证书链的验证 证书链可以有任意环节的长度,所以在三节的链中,信任锚证书CA 环节可以对中间证书签名;中间证书的所有者可以用自己的私钥对另一个证书签名。CertPath API 可以用来遍历证书链以验证有效性,也可...
数字证书有效性检验
u010543848的博客
08-22 2900
同样以沃通搭建的演示网站中的证书为例,打开该证书后,往下翻找,可以找到“CRL分发点”,根据其提供的网址访问后,可以得到CRL列表,打开该列表,选择吊销列表即可查看被吊销的数字证书序列号和吊销日期,依次核对被吊销的数字证书序列号后即可判定该证书是否有效。下载后打开该证书,点击其使用者,可以对比网站的证书的颁发者与我们下载的这个证书的使用者相同,从网站的已有证书链上的序列号也能佐证我们找寻的上级证书无误。通过证书撤销状态查询,如果发现证书已经被撤销,那么证书就是无效的,用户不能使用该证书
证书学习(四)X.509数字证书整理
ACGkaka的博客
09-09 1870
证书学习(四)X.509数字证书整理
精选资源
国密数字证书验证-SM2、SM3、SM4
11-22
数字证书验证中,SM3用于计算证书证书链的哈希值,以便与证书颁发机构发布的哈希值进行比对,确认证书有效性和未被篡改。 SM4分组密码算法则是一种对称加密算法,主要用于数据的加密和解密。它采用128位的...
X.509数字证书
04-09
5. **验证**:接收方(如浏览器)通过检查证书的签名、发行者和有效期来验证证书有效性。 **应用场景** 1. **HTTPS**:在Web浏览器和服务器之间建立安全的SSL/TLS连接,确保数据传输的隐私和完整性。 2. **电子...
Certificate数字证书有效性验证
M先生的博客
06-19 2954
数字证书有效性验证的概念及代码
JAVA对数字证书的常用操作
Sagely's blog
05-01 3023
一:需要包含的包    import java.security.*;    import java.io.*;    import java.util.*;    import java.security.*;    import java.security.cert.*;    import sun.security.x509.*    import java.security.cert.Ce
如何验证java_如何验证Java卡上的证书有效性
weixin_39855869的博客
02-23 568
通常,验证证书对于智能卡来说是一项艰苦的工作.这些证书的大小通常大于2KiB.虽然这是用于通用PC的花生,但它不适用于智能卡,其中高端卡通常仅包含8 KiB的RAM.这是在操作系统,加密协处理器APDU缓冲区和 – 当然 – 您的小程序之间共享的.还有一个问题:通常智能卡不包含时钟.这使得证明证书在有效期内是一件棘手的事情;基本上你需要一些可靠的时间来保持时间.然后,证书验证通常使用CRL或OCS...
证书有效性验证、根证书
hqy1719239337的博客
03-29 1万+
一、 数字证书有效性验证主要从三个方面: (1)数字证书有效期验证 (2)根证书验证 (3)CRL验证 1、数字证书有效期验证 就是说证书的使用时间要在起始时间和结束时间之内。通过解析证书很容易得到证书的有效期 2、根证书验证 先来理解一下什么是根证书? 普通的证书一般包括三部分:用户信...
数字证书认证
qq_41768644的博客
07-23 3187
1、创建证书申请文件,包含申请人的公钥、指定签名算法 、有效期,申请人相关信息;2、CA先对该文件做hash算法,得到数字摘要3、CA使用自己的私钥对数字摘要进行加密得到数字签名,即证书签名4、证书签名+申请人信息 = 数字证书
数字证书验证过程
arlaichin的专栏
03-30 6514
介绍X509证书验证过程
数字证书在java中的使用
08-24 3902
前段时间一直在做数字证书,可能是因为是第一次接触数字证书这种东西,由于概念还不是很理解,所以感觉无从下手。通过查找资料,逐步摸索,对数字证书有了初步了解。个人认为主要是对SSL概念的理解,内容其实很少,没有刚开始想象的那么复杂。 所谓证书(Certificate,也称public-key certificate)就是用某种签名算法对某些内容(比如公钥)进行数字签名后得到的、可以用来当成信任
数字证书(安全校验)
荣山的博客
02-01 1036
数字证书
HTTPS的数字证书验证原理
热门推荐
相忘于江湖
11-08 2万+
一、概述 网络请求方式通常分为两种,分别是HTTP请求和HTTPS请求,其中HTTP的传输属于明文传输,在传输的过程中容易被人截取并且偷窥其中的内容,而HTTPS是一种在HTTP的基础上加了SSL/TLS层(安全套接层)的安全的超文本传输协议,其传输的内容是通过加密得到的,所以说是一种安全的传输 二、加密算法 说到加密算法,先来了解一下两种常用的加密方式,分别是对称加密和非对称加密: ...
如何验证数字证书有效性
最新发布
06-04
### 验证数字证书有效性的方法及工具 #### 1. 数字证书有效性验证方法 数字证书有效性验证通常包括以下几个方面: - **检查有效期**:验证证书是否在有效期内。如果当前时间不在证书的“开始日期”和“结束日期”之间,则证书无效[^3]。 - **验证签名**:通过 CA 的公钥解密证书中的签名,确保证书内容未被篡改。如果签名验证失败,则证书不可信[^2]。 - **验证颁发者身份**:确认颁发证书CA 是否可信。这通常需要检查本地信任库中是否存在该 CA 的根证书[^1]。 - **吊销状态检查**:通过证书吊销列表(CRL)或在线证书状态协议(OCSP)验证证书是否已被吊销[^3]。 #### 2. 验证数字证书有效性的代码示例 以下是一个使用 Java 验证数字证书有效性的代码示例: ```java import java.io.File; import java.security.cert.CertificateExpiredException; import java.security.cert.CertificateNotYetValidException; import java.security.cert.CertificateFactory; import java.security.cert.X509Certificate; public class CertificateUtil { public static void verifyCertificate(File certificateFile, File caCertFile) throws Exception { // 加载证书 CertificateFactory certFactory = CertificateFactory.getInstance("X.509"); X509Certificate cert = (X509Certificate) certFactory.generateCertificate(certificateFile.getInputStream()); // 加载CA证书 X509Certificate caCert = (X509Certificate) certFactory.generateCertificate(caCertFile.getInputStream()); // 验证证书链 cert.verify(caCert.getPublicKey()); // 检查证书有效期 cert.checkValidity(); } public static void main(String[] args) { try { verifyCertificate(new File("/home/zhangzz/Downloads/_.csdn.crt"), new File("/home/zhangzz/Downloads/GeoTrust CN RSA CA G1.p7c")); System.out.println("证书有效"); } catch (CertificateNotYetValidException e) { System.out.println("证书有效期未开始,请待进入有效期后开始使用:" + e.getMessage()); } catch (CertificateExpiredException e) { System.out.println("证书已过期:" + e.getMessage()); } catch (Exception e) { System.out.println("证书验证失败:" + e.getMessage()); } } } ``` #### 3. 验证数字证书有效性的工具 以下是几种常用的数字证书有效性验证工具: - **OpenSSL**:支持多种操作,包括证书解析、验证和吊销状态检查。例如,使用以下命令可以查看证书信息并验证有效性: ```bash openssl x509 -in certificate.pem -text -noout openssl verify -CAfile ca-cert.pem certificate.pem ``` - **Keytool**:Java 提供的工具,用于管理密钥库和证书。可以使用以下命令验证证书: ```bash keytool -printcert -v -file certificate.cer ``` - **在线工具**:如 SSL Labs 的 SSL Test 工具,可以在线分析 HTTPS 网站的证书配置和有效性[^3]。 #### 4. 商用密码数字证书合格检测工具 商用密码数字证书的合格检测工具主要用于评估数字证书的正确性、有效性和合规性。例如,在身份认证中,需要确保数字证书的使用符合相关标准和法规要求。SM2 数字证书是基于国密算法的标准证书,其检测工具需支持 SM2 算法的解析和验证[^1]。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值