Подтвердить сертификат X.509 против CA в Java

Предположим, что у меня есть что-то вроде этого (код на стороне клиента):

TrustManager[] trustAllCerts = new TrustManager[]{
    new X509TrustManager() {

        @Override
        public java.security.cert.X509Certificate[] getAcceptedIssuers() {
            return null;
        }

        @Override
        public void checkClientTrusted(
                java.security.cert.X509Certificate[] certs, String authType) {
        }

        @Override
        public void checkServerTrusted(
                java.security.cert.X509Certificate[] certs, String authType) {
        }
    }
};

SSLContext sslc = SSLContext.getInstance("TLS");
sslc.init(null, trustAllCerts, null);

SocketFactory sf = sslc.getSocketFactory();
SSLSocket s = (SSLSocket) sf.createSocket("127.0.0.1", 9124);

Этот код является полным функциональным, но я действительно не могу понять, как проверить сертификат сервера на один конкретный сертификат ЦС, который у меня есть в файле pem.

Все сертификаты подписаны моим самозаверяющим ЦС, и это CA, которому я должен проверять (только против этого).

Каждый ответ оценивается.

EDIT:

В ответ на jglouie (спасибо вам большое - не можете проголосовать за свой ответ).

Я основал решение:

new X509TrustManager() {

        @Override
        public java.security.cert.X509Certificate[] getAcceptedIssuers() {
            return null;
        }

        @Override
        public void checkClientTrusted(
                java.security.cert.X509Certificate[] certs, String authType) {
        }

        @Override
        public void checkServerTrusted(
                java.security.cert.X509Certificate[] certs, String authType)
                throws CertificateException {
            InputStream inStream = null;
            try {
                // Loading the CA cert
                URL u = getClass().getResource("tcp/cacert.pem");
                inStream = new FileInputStream(u.getFile());
                CertificateFactory cf = CertificateFactory.getInstance("X.509");
                X509Certificate ca = (X509Certificate) cf.generateCertificate(inStream);
                inStream.close();

                for (X509Certificate cert : certs) {
                    // Verifing by public key
                    cert.verify(ca.getPublicKey());
                }
            } catch (Exception ex) {
                Logger.getLogger(Client.class.getName()).log(Level.SEVERE, null, ex);
            } finally {
                try {
                    inStream.close();
                } catch (IOException ex) {
                    Logger.getLogger(Client.class.getName()).log(Level.SEVERE, null, ex);
                }
            }

        }
    }
};

ОТВЕТЫ

Ответ 1

Я предполагаю, что самозаверяющий сертификат вашего ЦС уже загружен следующим образом:

CertificateFactory cf = CertificateFactory.getInstance("X.509");   
FileInputStream finStream = new FileInputStream("CACertificate.pem"); 
X509Certificate caCertificate = (X509Certificate)cf.generateCertificate(finStream);

Затем в методе проверки сертификата:

@Override        
 public void checkServerTrusted(java.security.cert.X509Certificate[] certs, String authType)  throws CertificateException {

 if (certs == null || certs.length == 0) {  
      throw new IllegalArgumentException("null or zero-length certificate chain");  
 }  

 if (authType == null || authType.length() == 0) {  
            throw new IllegalArgumentException("null or zero-length authentication type");  
  }  

   //Check if certificate send is your CA's
    if(!certs[0].equals(caCertificate)){
         try
         {   //Not your CA's. Check if it has been signed by your CA
             certs[0].verify(caCertificate.getPublicKey())
         }
         catch(Exception e){   
              throw new CertificateException("Certificate not trusted",e);
         }
    }
    //If we end here certificate is trusted. Check if it has expired.  
     try{
          certs[0].checkValidity();
      }
      catch(Exception e){
            throw new CertificateException("Certificate not trusted. It has expired",e);
      }  
}

Отказ от ответственности: Даже не пытались скомпилировать код

Ответ 2

Принятый ответ крайне неверен. Он не криптографически не проверяет соединение между сертификатом сервера и доверенным центром сертификации. В общем, вам почти не нужно будет внедрять собственный TrustManager, поэтому очень опасно.

Как указано в EJP, нет необходимости реализовывать собственный TrustManager, вы можете просто использовать стандартную версию и убедиться, что доверенный сертификат CA был добавлен в ваш TrustStore по умолчанию. См. этот вопрос для получения дополнительной информации.

Взгляните на класс CertPathValidator из JDK, который проверяет непрерывную цепочку доверия от собственного сертификата сервера до доверенный ЦС. См. Oracle docs для ознакомления с проверкой цепочки сертификатов.

Ответ 3

Этот код полностью функциональный

Этот код полностью дисфункциональный. Он абсолютно небезопасен, а также не соответствует его собственным спецификациям. Существует редко необходимость поставлять собственный TrustManager, по умолчанию он работает очень хорошо.

Все, что вам нужно сделать, это убедиться, что сертификат ЦС, который у вас есть, присутствует в вашем доверенном магазине, а затем установить системное свойство javax.net.ssl.trustStore, чтобы указать на него, если он не является файлом доверия доверия по умолчанию. Вам не нужно писать код вообще, кроме, возможно, System.setProperty(), если вы не установите его с помощью командной строки -D.

РЕДАКТИРОВАТЬ Ваше "решение", конечно, не будет работать вообще. Он предполагает, что каждый сертификат в цепочке подписывается вашим сертификатом. Это может быть справедливо только для цепей длиной 1 или длины 2, если сертификат подписи = ваш сертификат.