使用 CertPathBuilder 构建证书路径时无法获得受信任的根 CA

2024-04-14

我有最终实体、一些中间 CA 和一些受信任 CA 的证书，并且我正在尝试使用CertPathBuilder找到最终实体和可信 CA 之一之间的认证路径。但是，我当前的实现包括任何中间 CA 和最终实体，但未能包括受信任的根。

我已经尝试过 BouncyCastle 提供商（CertPathBuilder.getInstance("PKIX", "BC")）和太阳的（CertPathBuilder.getInstance("PKIX")），但我得到了相同的结果。

这是一个独立的 Kotlin 代码片段，使用 Bouncy Castle (implementation("org.bouncycastle:bcpkix-jdk15on:1.66")）来生成证书。我的路径构建函数是buildCertificationPath.

package com.example.cert

import org.bouncycastle.asn1.ASN1Boolean
import org.bouncycastle.asn1.ASN1Encodable
import org.bouncycastle.asn1.ASN1EncodableVector
import org.bouncycastle.asn1.ASN1Integer
import org.bouncycastle.asn1.ASN1Primitive
import org.bouncycastle.asn1.DERBMPString
import org.bouncycastle.asn1.DEROctetString
import org.bouncycastle.asn1.DERSequence
import org.bouncycastle.asn1.x500.X500Name
import org.bouncycastle.asn1.x500.X500NameBuilder
import org.bouncycastle.asn1.x500.style.BCStyle
import org.bouncycastle.asn1.x509.AuthorityKeyIdentifier
import org.bouncycastle.asn1.x509.Extension
import org.bouncycastle.asn1.x509.SubjectKeyIdentifier
import org.bouncycastle.asn1.x509.SubjectPublicKeyInfo
import org.bouncycastle.cert.X509CertificateHolder
import org.bouncycastle.cert.X509v3CertificateBuilder
import org.bouncycastle.cert.jcajce.JcaX509CertificateConverter
import org.bouncycastle.jce.provider.BouncyCastleProvider
import org.bouncycastle.operator.jcajce.JcaContentSignerBuilder
import java.math.BigInteger
import java.security.KeyPair
import java.security.KeyPairGenerator
import java.security.MessageDigest
import java.security.PrivateKey
import java.security.PublicKey
import java.security.SecureRandom
import java.security.Security
import java.security.cert.CertPathBuilder
import java.security.cert.CertPathBuilderException
import java.security.cert.CertStore
import java.security.cert.CollectionCertStoreParameters
import java.security.cert.PKIXBuilderParameters
import java.security.cert.PKIXParameters
import java.security.cert.TrustAnchor
import java.security.cert.X509CertSelector
import java.security.cert.X509Certificate
import java.sql.Date
import java.time.ZonedDateTime

val bcToJavaCertificateConverter: JcaX509CertificateConverter =
    JcaX509CertificateConverter().setProvider(BouncyCastleProvider())

fun main() {
    Security.addProvider(BouncyCastleProvider())

    // Issue certificates using BouncyCastle
    val rootCAKeyPair = generateRSAKeyPair()
    val rootCACert = issueCertificate(
        "root",
        rootCAKeyPair.public,
        rootCAKeyPair.private,
        isCA = true,
        pathLenConstraint = 2
    )
    val intermediateCAKeyPair = generateRSAKeyPair()
    val intermediateCACert = issueCertificate(
        "intermediate",
        intermediateCAKeyPair.public,
        rootCAKeyPair.private,
        rootCACert,
        isCA = true,
        pathLenConstraint = 1
    )
    val endEntityKeyPair = generateRSAKeyPair()
    val endEntityCert = issueCertificate(
        "end",
        endEntityKeyPair.public,
        intermediateCAKeyPair.private,
        intermediateCACert,
        isCA = false,
        pathLenConstraint = 0
    )

    // Convert BouncyCastle certificates to Java ones:
    val javaRootCert = convertBCCertToJava(rootCACert)
    val javaInterCert = convertBCCertToJava(intermediateCACert)
    val javaEndCert = convertBCCertToJava(endEntityCert)

    val intermediateAndRootPath = buildCertificationPath(
        javaInterCert,
        emptySet(),
        setOf(javaRootCert)
    )
    if (intermediateAndRootPath.contentEquals(arrayOf("intermediate", "root"))) {
        println("Path between intermediate and root CA is OK")
    } else {
        println(
            "Path between intermediate and root CA is wrong: " +
                intermediateAndRootPath.joinToString(",")
        )
    }

    val endAndIntermediatePath = buildCertificationPath(
        javaEndCert,
        emptySet(),
        setOf(javaInterCert)
    )
    if (endAndIntermediatePath.contentEquals(arrayOf("end", "intermediate"))) {
        println("Path between end entity and intermediate CA is OK")
    } else {
        println(
            "Path between end entity and intermediate CA is wrong: " +
                endAndIntermediatePath.joinToString(",")
        )
    }

    val endAndRootPath = buildCertificationPath(
        javaEndCert,
        setOf(javaInterCert),
        setOf(javaRootCert)
    )
    if (endAndRootPath.contentEquals(arrayOf("end", "intermediate", "root"))) {
        println("Path between end entity and root CA is OK")
    } else {
        println("Path between end entity and root CA is wrong: " + endAndRootPath.joinToString(","))
    }
}

fun buildCertificationPath(
    endEntityCert: X509Certificate,
    intermediateCACerts: Set<X509Certificate>,
    trustedCACerts: Set<X509Certificate>
): Array<String> {
    val trustAnchors = trustedCACerts.map { TrustAnchor(it, null) }.toSet()

    val intermediateCertStore = CertStore.getInstance(
        "Collection",
        CollectionCertStoreParameters(intermediateCACerts),
        "BC"
    )

    val endEntitySelector = X509CertSelector()
    endEntitySelector.certificate = endEntityCert

    val parameters: PKIXParameters = PKIXBuilderParameters(trustAnchors, endEntitySelector)
    parameters.isRevocationEnabled = false // TODO: Needed?
    parameters.addCertStore(intermediateCertStore)

    // val pathBuilder: CertPathBuilder = CertPathBuilder.getInstance("PKIX")
    val pathBuilder: CertPathBuilder = CertPathBuilder.getInstance("PKIX", "BC")
    val pathBuilderResult = try {
        pathBuilder.build(parameters)
    } catch (exc: CertPathBuilderException) {
        exc.printStackTrace()
        return emptyArray()
    }
    val certificates = pathBuilderResult.certPath.certificates
    return certificates.map {
        X509CertificateHolder(it.encoded).subject.getRDNs(BCStyle.CN).first().first.value.toString()
    }.toTypedArray()
}

fun generateRSAKeyPair(): KeyPair {
    val keyGen = KeyPairGenerator.getInstance("RSA")
    keyGen.initialize(2048)
    return keyGen.generateKeyPair()
}

fun issueCertificate(
    subjectCommonName: String,
    subjectPublicKey: PublicKey,
    issuerPrivateKey: PrivateKey,
    issuerCertificate: X509CertificateHolder? = null,
    isCA: Boolean = false,
    pathLenConstraint: Int = 0
): X509CertificateHolder {
    val subjectDistinguishedName = buildDistinguishedName(subjectCommonName)
    val issuerDistinguishedName = if (issuerCertificate != null)
        issuerCertificate.subject
    else
        subjectDistinguishedName
    val subjectPublicKeyInfo = SubjectPublicKeyInfo.getInstance(subjectPublicKey.encoded)

    val now = ZonedDateTime.now()
    val builder = X509v3CertificateBuilder(
        issuerDistinguishedName,
        generateRandomBigInteger(),
        Date.from(now.toInstant()),
        Date.from(now.plusDays(1).toInstant()),
        subjectDistinguishedName,
        subjectPublicKeyInfo
    )

    val basicConstraints = BasicConstraintsExtension(
        isCA,
        pathLenConstraint
    )
    builder.addExtension(Extension.basicConstraints, true, basicConstraints)

    val subjectPublicKeyDigest = getSHA256Digest(subjectPublicKeyInfo.encoded)

    val issuerSKI = issuerCertificate?.getExtension(Extension.subjectKeyIdentifier)
    if (issuerSKI != null) {
        val aki = AuthorityKeyIdentifier((issuerSKI.parsedValue as DEROctetString).octets)
        builder.addExtension(Extension.authorityKeyIdentifier, false, aki)
    }

    val ski = SubjectKeyIdentifier(subjectPublicKeyDigest)
    builder.addExtension(Extension.subjectKeyIdentifier, false, ski)

    val signerBuilder = JcaContentSignerBuilder("SHA256WITHRSAANDMGF1").build(issuerPrivateKey)
    return builder.build(signerBuilder)
}

fun convertBCCertToJava(bcCert: X509CertificateHolder): X509Certificate =
    bcToJavaCertificateConverter.getCertificate(bcCert)

fun generateRandomBigInteger(): BigInteger {
    val random = SecureRandom()
    return BigInteger(64, random)
}

fun buildDistinguishedName(commonName: String): X500Name {
    val builder = X500NameBuilder(BCStyle.INSTANCE)
    builder.addRDN(BCStyle.CN, DERBMPString(commonName))
    return builder.build()
}

fun getSHA256Digest(input: ByteArray): ByteArray {
    val digest = MessageDigest.getInstance("SHA-256")
    return digest.digest(input)
}

class BasicConstraintsExtension(
    private val cA: Boolean,
    private val pathLenConstraint: Int
) : ASN1Encodable {
    init {
        if (pathLenConstraint < 0 || 2 < pathLenConstraint) {
            throw Exception(
                "pathLenConstraint should be between 0 and 2 (got $pathLenConstraint)"
            )
        }
        if (pathLenConstraint != 0 && !cA) {
            throw Exception(
                "Subject should be a CA if pathLenConstraint=$pathLenConstraint"
            )
        }
    }

    override fun toASN1Primitive(): ASN1Primitive {
        val sequence = ASN1EncodableVector(2)
        sequence.add(ASN1Boolean.getInstance(cA))
        sequence.add(ASN1Integer(pathLenConstraint.toLong()))
        return DERSequence(sequence)
    }
}

这是我得到的输出：

Path between intermediate and root CA is wrong: intermediate
Path between end entity and intermediate CA is wrong: end
Path between end entity and root CA is wrong: end,intermediate

作为一种解决方法，我最终可能会通过迭代受信任的 CA 来计算根，直到找到颁发路径中最后一个证书的 CA，但我希望这不是必需的。

Cast pathBuilderResult to java.security.cert.PKIXCertPathBuilderResult（需要实现“PKIX”才能返回实现此功能的结果）。然后，您会发现 getTrustAnchor() 方法可用，返回充当此结果的 TA 的证书。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Java

bouncycastle

使用 CertPathBuilder 构建证书路径时无法获得受信任的根 CA 的相关文章

如何从Firebase Firestore实时更新文档中获取修改后的字段或数据？ [复制]

这个问题在这里已经有答案了我有多个文档我的问题是我无法获取修改的特定数据我正在获取完整的文档 db collection employees whereEqualTo OID OID addSnapshotListener new E
“java.io.IOException：连接超时”和“SocketTimeoutException：读取超时”之间有什么区别

如果我设置一个套接字 SoTimeout 并从中读取当读取时间超过超时限制时我会收到 SocketTimeoutException 读取超时这是我的例子中的堆栈 java net SocketTimeoutException Read
Guice 忽略注入构造函数参数上的 @Nullable

我正在使用 Guice v 3 0 并且有一个值被注入到构造函数中该值可以为 null 因此我在构造函数中使用 Nullable 来自 javax annotations 注释了该参数 public MyClass Parameter1
使用 WebDriver 单击新打开的选项卡中的链接

有人可以在这种情况下帮助我吗场景是有一个网页我仅在新选项卡中打开所有指定的链接现在我尝试单击新打开的选项卡中的任何一个链接在下面尝试过但它仅单击主第一个选项卡中的一个链接而不是在新选项卡中 new Actions drive
Base36 编码字符串？

我一直在网上查找但找不到解决此问题的方法在 Python Ruby 或 Java 中如何对以下字符串进行 Base 36 编码 nOrG9Eh0uyeilM8Nnu5pTywj3935kW 5 Ruby 以 36 为基数 s unpa
Reactive Spring 不支持 HttpServletRequest 作为 REST 端点中的参数？

我创建了一个 RestController 如下所示 RestController public class GreetingController RequestMapping value greetings method RequestM
在 Struts 2 中传递 URL 参数而不使用查询字符串

我想使用类似的 URL host ActionName 123 abc 而不是像这样传递查询字符串 host ActionName parm1 123 parm2 abc 我怎样才能在 Struts 2 中做到这一点我按照下面的方法做了
Android 中 localTime 和 localDate 的替代类有哪些？ [复制]

这个问题在这里已经有答案了我想使用从 android API 获得的长值该值将日期返回为长值表示为自纪元以来的毫秒数我需要使用像 isBefore plusDays isAfter 这样的方法 Cursor managedCurso
如何在java Spring Boot中实现通用服务类？

我有许多具有重复代码的服务我想知道如何实现通用服务以便我的所有服务都可以扩展它服务接口示例重复代码 Service public interface IUserService List
为自定义驱动程序创建 GraphicsDevice

我正在开发一个在嵌入式系统中使用 Java 的项目我有用于屏幕和触摸输入的驱动程序以及用于文本输入的虚拟键盘我的屏幕驱动程序有一个Graphics2D您可以绘制的对象和repaint Rectangle 更新方法类似地触摸驱动器能
Spring数据中的本机查询连接

我有课 Entity public class User Id Long id String name ManyToMany List
从直方图计算平均值和百分位数？

我编写了一个计时器可以测量任何多线程应用程序中特定代码的性能在下面的计时器中它还会在地图中填充花费了 x 毫秒的调用次数我将使用这张图作为我的直方图的一部分来进行进一步的分析例如调用花费了这么多毫秒的百分比等等 public st
从休眠乐观锁定异常中恢复

我有一个这样的方法 Transactional propagation Propagation REQUIRES NEW public void doSomeWork Entity entity dao loadEntity do some
添加到列表时有没有办法避免循环？

我想知道这样的代码 List
Play.application() 的替代方案是什么

我是 Play 框架的新手我想读取conf文件夹中的一个文件所以我用了Play application classloader getResources Data json nextElement getFile 但我知道 play P
Karaf / Maven - 无法解决：缺少需求 osgi.wiring.package

我无法在 Karaf 版本 3 0 1 中启动捆绑包该包是使用 Maven 构建的并导入gson http mvnrepository com artifact com google code gson gson 2 3 1 我按照要求将
无需登录即可直接从 Alfresco 访问文件/内容

我的场景是这样的我有一个使用 ALFRESCO CMS 来显示文件或图像的 Web 应用程序我正在做的是在 Java servlet 中使用用户名和密码登录 alfresco 并且我可以获得该登录的票证但我无法使用该票证直接从浏览器访
禁用 Android 菜单组

我尝试使用以下代码禁用菜单组但它不起作用菜单项仍然启用你能告诉我出了什么问题吗资源菜单 menu xml menu menu
如何处理 StaleElementReferenceException

我正在为鼠标悬停工作我想通过使用 for 循环单击每个链接来测试所有链接的工作条件在我的程序中迭代进行一次而对于下一次迭代它不起作用并显示 StaleElementReferenceException 如果需要请修改代码 pub
替换文件中的字符串

我正在寻找一种方法来替换文件中的字符串而不将整个文件读入内存通常我会使用 Reader 和 Writer 即如下所示 public static void replace String oldstring String newstring

随机推荐

java.lang.ClassNotFoundException：com.mysql.jdbc.Driver（在jre的库中）

我已将 mysql connector java 5 1 18 bin jar 添加到 jre 和 jdk 库中这是 C Windows system32 gt javap java io Bits Compiled from Bits
未找到类，使用 Android Studio 3.0.1、Room、Kotlin 的 androidTest 中的空测试套件

我在运行 androidTest 时遇到问题这是我在 gradle 中的设置 apply plugin com android application apply plugin kotlin android apply plugin ko
如何更改选择选项的字体大小？ [复制]

这个问题在这里已经有答案了我正在尝试设置选择选项下拉列表的样式是否可以使选项的字体大小与默认值不同例如默认 Select Country 尺寸为 7pt 和选项之一 Georgia 尺寸为 13pt 这是我的下拉列表 select
Swift 3 照片捕捉

我正在使用这段代码 func capturePhoto blockCompletion escaping blockCompletionCapturePhoto guard let connectionVideo self stillCam
Symfony2 响应 - 清除后退按钮上的缓存标头

当按下后退按钮时我遇到了清除缓存的问题我的标头信息表明我是从缓存加载的 Status Code 200 OK from cache 我的回复设置为 response new Response response gt expire res
JQuery：如果表头有类，则将类添加到表单元格

假设我有以下 html table thead tr th class alignRight Header1 th th Header2 th th class alignLeft Header3 th tr thead tbody tr
探索用户时，如何查看他们浏览过的页面的 url？

在用户资源管理器中我看到默认的 page view 事件但当我单击它们时它们不会显示页面路径 GA4 新手需要任何建议我期望显示默认参数 page location page referrer 但我只看到自定义参数我的一个想法是
我如何计算 @foreach 中 mvc3 中的循环

我怎样才能关闭 tr 并打开 tr 3次循环迭代后我在 NET 4 0 中有 MVC 3 如何计算 MVC 3 中的循环迭代次数当前代码 foreach var articleOnFirstPage in Model ArticlesO
ModuleNotFoundError：没有名为“skimage.util.montage”的模块

我正在尝试导入montage2d来自 scikit image 的模块 from skimage util montage import montage2d 但弹出了这个错误 ModuleNotFoundError No module na
输入单个记录条目

我正在寻找一个 TypeScript 类型定义它描述具有单个属性具有任何值的对象我知道有索引签名例如 type X key string any 或者替代地 type X Record
R Data.table 根据另一列划分列中的值

我有一个maindata table 有 364 行和 3 列 Date Weekday Weight 2012 01 01 Monday 100 2013 01 02 Tuesday 200 and a helpdata table 有
Django ORM：我如何实时查看最后执行的查询

假设我们有一个使用 django orm 的简单查询 filterd User objects exclude id request user id filter username data username 这应该返回一些对象但它没有返
如何在 Autofac 中使用工厂模式？

目前我有以下内容 public interface IService void Start public class FirstService IService 我通过执行以下操作来解决该服务 using var scope lifetim
RMarkdown PDF 输出中未显示某些 Unicode 字符

我正在尝试将一些课程笔记整理为 PDF 但无法正确显示某些 Unicode 字符使用xelatex https en wikipedia org wiki XeTeXLatex 引擎对于渲染文档是必需的使用默认引擎会因无法识别的字符而导
挂钩 Win32 窗口创建/调整大小/查询大小

我正在尝试扩展现有的应用程序 The goal就是在不更改应用程序代码的情况下使现有应用程序变得更大一个约束拉伸的应用程序不会注意到它因此如果应用程序查询创建的窗口大小它将看到原始大小而不是调整后的大小我设法使用调整窗口
Mayavi (Python) 中的 TVTK 错误

我正在运行 Fedora 17 x64 机器并且我尝试通过以下方式安装 Mayavi for python yum install mayavi 工作得很好除了每次我编写调用 mayavi 模块如 mlab 的代码时 from ent
根据时间戳间隔创建 csv 文件的数据框

我相信我的问题非常简单并且一定有一个非常简单的方法来解决这个问题但是由于我对Python 特别是pandas很陌生我无法自己解决它我有数百个 csv 文件格式如下 text 2014 02 22 13 00 00 所以格式是str
如何强制 QCompleter 检查 QLineEdit 中的第二个单词

我有一个功能可以实现带有自动完成功能的文本框我找到了一个使用 QLineEdit 和 QCompleter 的代码因此我有我的字符串值一二三等一旦我输入 on 完成器就会建议我列表中带有前缀 on 的每个单词但是当我从列表中
关闭还是不关闭 Oracle 连接？

我的应用程序存在性能问题因此我开始从根本上调查这个问题与数据库的连接最佳实践说打开连接使用它并尽快关闭但我不知道这会导致的开销所以问题是 1 尽快打开使用关闭连接是使用 ODP NET 的最佳方法吗 2 有没有办法以及如何
使用 CertPathBuilder 构建证书路径时无法获得受信任的根 CA

我有最终实体一些中间 CA 和一些受信任 CA 的证书并且我正在尝试使用CertPathBuilder找到最终实体和可信 CA 之一之间的认证路径但是我当前的实现包括任何中间 CA 和最终实体但未能包括受信任的根我已经尝试过 B

使用 CertPathBuilder 构建证书路径时无法获得受信任的根 CA

使用 CertPathBuilder 构建证书路径时无法获得受信任的根 CA 的相关文章

随机推荐

热门标签