generateCertificate() 时出现证书异常

我正在开发我的 Android 应用程序。我正在尝试生成X509证书来自我的证书文件流的实例，但是得到CertificateException，这是我的简单代码：

import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;
import java.security.cert.X509Certificate;
...
public class CertMgr {
   //my certification file 'mycert.p12' located in my app internal storage
   File certFile = GET_CERT();

   X509Certificate cert = null;
   try {

      FileInputStream fis = new FileInputStream(certFile);
      BufferedInputStream bis = new BufferedInputStream(fis);

      CertificateFactory cf = CertificateFactory.getInstance("X.509"); 

      if(bis.available() > 0){
           //I got CertificateException here, see the stack trace
          cert = (X509Certificate) cf.generateCertificate(bis); //line nr 150
      }
   }catch(...)
      {...}
 ...
}

堆栈跟踪：

javax.security.cert.CertificateException: org.apache.harmony.security.asn1.ASN1Exception: ASN.1 Sequence: mandatory value is missing at [4]
11-11 17:30:20.731: W/System.err(11529):    at javax.security.cert.X509Certificate.getInstance(X509Certificate.java:94)
11-11 17:30:20.731: W/System.err(11529):    at javax.security.cert.X509Certificate.getInstance(X509Certificate.java:213)
11-11 17:30:20.731: W/System.err(11529):    at com.my.app.CertMgr.getCert(CertMgr.java:150)

有人可以向我解释一下为什么我会得到这个例外吗？

P.S.:这是我在 Android SDK 中使用的类X509证书 http://developer.android.com/reference/javax/security/cert/X509Certificate.html , 证书工厂 http://developer.android.com/reference/java/security/cert/CertificateFactory.html

如果您好奇我为什么这样做，原因是我希望我的应用程序能够安装证书（mycert.p12）通过以下代码（如果上面的代码工作正常）：

Intent installIntent = KeyChain.createInstallIntent();

installIntent.putExtra(KeyChain.EXTRA_CERTIFICATE, cert.getEncoded());
installIntent.putExtra(KeyChain.EXTRA_NAME, MY_CERT);
startActivityForResult(installIntent, INSTALL_KEYCHAIN_CODE);

您正在尝试读取 PKCS#12 数据结构，因为它是 X509 证书。这PKCS#12 http://www.emc.com/emc-plus/rsa-labs/standards-initiatives/pkcs12-personal-information-exchange-syntax-standard.htm标准指定了可以捆绑多个证书和私钥的数据结构，可以选择通过密码进行保护。

为了读取 PKCS#12 数据，您需要使用KeyStore http://developer.android.com/reference/java/security/KeyStore.html。此代码片段显示如何列出 PCKS#12 文件的所有条目：

KeyStore keyStore = KeyStore.getInstance("PKCS12");
File p12File = GET_CERT();
FileInputStream fis = new FileInputStream(p12File);
BufferedInputStream bis = new BufferedInputStream(fis);
keyStore.load(bis, password.toCharArray()); // password is the PKCS#12 password. If there is no password, just pass null
Enumeration<String> aliases = keyStore.aliases();
while (aliases.hasMoreElements()) {
    String alias = aliases.nextElement();
    /* Do something with the keystore entry */
}

KeyStore 条目可以是私钥，可以有或没有关联的证书链（即从根证书到与私钥对应的证书的证书序列），也可以是受信任的证书。您可以通过以下方式确定条目类型KeyStore.isKeyEntry and KeyStore.isCertificateEntry方法。

根据您给出的 KeyChain 意图，您似乎想在钥匙链中添加新的受信任的根 CA 证书。因此我认为您应该列出 PKCS#12 文件的证书条目。

编辑（2013 年 11 月 12 日）

如何从密钥库获取受信任的证书：

String alias = aliases.nextElement();
if (keyStore.isCertificateEntry(alias)) { // keep only trusted cert entries
    Certificate caCert = keyStore.getCertificate(alias)
    byte[] extraCertificate = caCert.getEncoded();
    Intent installIntent = KeyChain.createInstallIntent();
    installIntent.putExtra(KeyChain.EXTRA_CERTIFICATE, extraCertificate);
    installIntent.putExtra(KeyChain.EXTRA_NAME, MY_CERT);
    startActivityForResult(installIntent, INSTALL_KEYCHAIN_CODE);
}