- 浏览: 321379 次
- 性别:
- 来自: 北京
文章分类
最新评论
-
lzy.je:
期待FSF的!1985.10成立到现在GNU有多少大牛的项目数 ...
改变IT世界的11大Apache开源技术 -
dotaking:
7、8不了解
改变IT世界的11大Apache开源技术
三、数字证书的签发(签名)
我们在上面创建好了数字证书,但这些数字证书还没有经过权威 CA的证实(即签名)。一般情况下,我们需要将这些证书发送给权威的CA,并申请其签名以确认数字证书让客户信任。
下面我们将模仿自己是一个权威的数字证书认证机构 CA,这个机构将采用自己的私钥来签发其它的证书。这个签发过程是这样的:我们自己是CA,我们自己有一个自签的数字证书存入数字证书库中。在数字证书库中的这个我们的CA数字证书,它含有私钥,公钥和我们这个CA的主体信息。下面这一个指令可以创建一个CA的自签的数字证书:
keytool –genkey –dname “CN=美森系统软件有限公司,OU=美森系统软件有限公司,O=美森系统软件有限公司,L=成都市,ST=四川省,C=中国” –alias MissionCA –keyalg RSA –keysize 1024 –keystore abnerCALib –keypass 200100 –storepass 100200 –validity 3650
上面,我们在 abnerCALib这个数字证书库中创建了一个别名为:missionCA、有效期为3650天、算法为RSA且密钥长度为1024的数字证书,这条证书的私钥密码为:200100,证书库的访问密码为:100200。这条别名为missionCA的证书代表我们自己的权威CA即:美森系统软件有限公司这个权威CA。以后我们将用这个证书来签名其它的数字证书。
现在我要给自己申请一个数字证书,我可以这么做:先在数字证书库中创建一条证书:
keytool –genkey –dname “CN=柴政,OU=美森系统软件有限公司,O=美森系统软件有限公司,L=成都市,ST=四川省,C=中国” –alias abnerCA –keyalg RSA –keysize 1024 –keystore abnerCALib –keypass 200100 –storepass 100200 –validity 3650
这样创建了一个别名为 abnerCA的数字证书,我们可以将它导出为cer文件(见前)。
接着,我们可以用上一步生成的 CA的自签证书来签名我这个数字证书了。
CA签名数字证书的过程需用以下程序来进行,这个程序是自解释的:
<!-- Code highlighting produced by Actipro CodeHighlighter (freeware) http://www.CodeHighlighter.com/ -->package com.security; import java.io.*; import java.security.*; import java.security.cert.*; import java.util.*; import java.math.*; import sun.security.x509.*; /** * <p>Description: 该程序根据签发者(CA)的证书信息(即CA的私钥)来对被签发者 * 的证书进行签名,过程即是使用CA的证书和被签证书来重构形成一个新的证书</p> * @author abnerchai * @version 1.0 */ public class SignCert { public static void main(String[] args) throws Exception{ char[] storepass = "100200".toCharArray(); //存放CA证书和被签证书的证书库的访问密码 char[] cakeypass = "200100".toCharArray();//CA数字证书条目的访问密码 String alias = "missionCA"; //CA证书在证书库中的别名,这个CA的证书用来签名其它的证书 String name = "abnerCALib";//存放CA证书和被签证书的证书库的名字 String newLib = "SignedLib"; //新证书库的名字,如果需要将签名后的证书放入新库,这是新库的名字 char[] newLibPass = "100200".toCharArray();//设置新库的访问密码 String cerFileName = "abnerCA.cer";//被签证书的证书文件名 String aliasName = "abnerCA";//被签证书在证书库中的alias别名 char[] namePass = "200100".toCharArray(); //被签证书的条目在证书库的私钥密码 int n =3; //被签证书的有效期,以年为单位,以当前时间开始计算 int sn = 200406001; //序列号可自己定义,这里定义的意义为2004年6月签发,是本年度CA签发的第多少个以001计算,要求唯一 String afteraliasName = "abnerCA_Signed"; //签名后新产生的被签过名的证书在库中的别名 char[] afterNewPass = "200100".toCharArray(); //签名后新产生的被签过名的证书在库的条目的私钥的密码 //装载证书库 FileInputStream in = new FileInputStream(name); KeyStore ks = KeyStore.getInstance("JKS");//JKS为证书库的类型 ks.load(in,storepass); //从证书库中读出签发者(CA)的证书 java.security.cert.Certificate cl = ks.getCertificate(alias); //读出一个CA证书,这里的l是字母l不是数据字1 PrivateKey privateKey = (PrivateKey)ks.getKey(alias,cakeypass); //根据别名和证书密码读出CA证书的私钥 in.close(); //从证书库中读出的签发者(CA)的证书中提取签发者的信息 byte[] encodl = cl.getEncoded();//提取证书的编码,这里是字母l不是数据字1 X509CertImpl cimpl = new X509CertImpl(encodl); //这里是字母l不是数据字1,根据证书的编码创建X509CertImpl类型的对象 //根据上面的对象获得X509CertInfo类型的对象,该对象封装了证书的全部内容。 X509CertInfo cinfo_first = (X509CertInfo)cimpl.get(X509CertImpl.NAME+"."+X509CertImpl.INFO); //然后获得X500Name类型的签发者信息 X500Name issuer = (X500Name) cinfo_first.get(X509CertInfo.SUBJECT+"."+CertificateIssuerName.DN_NAME); //获取待签发的证书,即获取被签发者的证书 //可从密钥库中获取,也可从导出的证书文件中获取,这里给出两种方式 //////////////////////////////////////////////////////////////////////// //方式一、采用从导出的cer文件中获取 start /////////////////////////////////////////////////////////////////////////////// /* CertificateFactory cf = CertificateFactory.getInstance("X.509"); //X.509是使用最多的一种数字证书标准 FileInputStream in2 = new FileInputStream(cerFileName);//被签证书文件 java.security.cert.Certificate c2 = cf.generateCertificate(in2); //生成需要被签的证书 in2.close(); byte[] encod2 = c2.getEncoded(); X509CertImpl cimp2 = new X509CertImpl(encod2); //获得被签证书的详细内容,然后根据这个证书生成新证书 X509CertInfo cinfo_second = (X509CertInfo)cimp2.get(X509CertImpl.NAME+"."+X509CertImpl.INFO); */ /////////////////////////////////////////////////////////////////////////////// //end 方式一 /////////////////////////////////////////////////////////////////////////////// /////////////////////////////////////////////////////////////////////////////// //方式二、从证书库中读出被签的证书 start /////////////////////////////////////////////////////////////////////////////// java.security.cert.Certificate c3 = ks.getCertificate(aliasName); //从证书库中读出被签证书,然后生成新的证书 byte[] encod3 = c3.getEncoded(); X509CertImpl cimp3 = new X509CertImpl(encod3); X509CertInfo cinfo_second = (X509CertInfo)cimp3.get(X509CertImpl.NAME+"."+X509CertImpl.INFO); /////////////////////////////////////////////////////////////////////////// //end方式二 /////////////////////////////////////////////////////////////////////////// //设置新证书的有效期,使之为当前向后n年有效,新证书的 //截止日期不能超过CA证书的有效日期 Date beginDate = new Date(); Calendar cal = Calendar.getInstance(); cal.setTime(beginDate); cal.add(cal.YEAR,n); Date endDate = cal.getTime(); CertificateValidity cv = new CertificateValidity(beginDate,endDate); cinfo_second.set(X509CertInfo.VALIDITY,cv); //设置新证书的序列号 CertificateSerialNumber csn = new CertificateSerialNumber(sn); cinfo_second.set(X509CertInfo.SERIAL_NUMBER,csn); //设置新证书的签发者 cinfo_second.set(X509CertInfo.ISSUER+"."+CertificateIssuerName.DN_NAME,issuer); //新的签发者是CA的证书中读出来的 //设置新证书的算法,指定CA签名该证书所使用的算法为md5WithRSA AlgorithmId algorithm = new AlgorithmId(AlgorithmId.md5WithRSAEncryption_oid); cinfo_second.set(CertificateAlgorithmId.NAME+"."+ CertificateAlgorithmId.ALGORITHM,algorithm); //创建新的签名后的证书 X509CertImpl newcert = new X509CertImpl(cinfo_second); //签名,使用CA证书的私钥进行签名,签名使用的算法为MD5WithRSA newcert.sign(privateKey,"MD5WithRSA");//这样便得到了经过CA签名后的证书 //把新证书存入证书库 //把新生成的证书存入一个新的证书库,也可以存入原证书库, //存入新证书库,则新证书库中不仅包含原证书库中的所有条目, //而且新增加了一个这次产生的条目。注意,这时,新产生的签名后的证书只 //包括公钥和主体信息及签名信息,不包括私钥信息。这里给出两种方式。 /////////////////////////////////////////////////////////////////////////// //方式一:存入新密钥库 /////////////////////////////////////////////////////////////////////////// /* ks.setCertificateEntry(afteraliasName,newcert); FileOutputStream out = new FileOutputStream(newLib); //存入新库signedLib,并设置新库的库访问密码 ks.store(out,newLibPass); out.close(); */ /////////////////////////////////////////////////////////////////////////// //end 方式一 /////////////////////////////////////////////////////////////////////////// //也可以采用另外一种方式,存入原证书库中 //存入原库中,即在原证书库中增加一条证书,这个证书是原证书经过签名后的证书 //这个新证书含有私钥和私钥密码 /////////////////////////////////////////////////////////////////////////// //方式二,存入原密钥库 /////////////////////////////////////////////////////////////////////////// //先在原库中读出被签证书的私钥 PrivateKey prk = (PrivateKey)ks.getKey(aliasName,namePass); java.security.cert.Certificate[] cchain = {newcert}; //存入原来的库,第二个参数为原证书的私钥,第三个参数为新证书的私钥密码,第三个参数为新证书 ks.setKeyEntry(afteraliasName,prk,afterNewPass,cchain); //用新密钥替代原来的没有签名的证书的密码 FileOutputStream out2 = new FileOutputStream(name); ks.store(out2,storepass);//存入原来的库中,第二个参数为该库的访问密码 /////////////////////////////////////////////////////////////////////////// //end 方式二 /////////////////////////////////////////////////////////////////////////// } }
运行以上程序,即可运用 MissionCA证书来签发abnerCA证书,运行后在abnerCALib中增加一条别名为abnerCA_Signed的数字证书,我们将它导出为cer文件(导出方法见前)。
至此,我们己经用 CA的证书以我们的数字证书签名了。在windows中,双击导出的abnerCA_Signend.cer文件,出现如下图所示:
上图中证书信息一栏显示“不能验证该证书”,原因是因为,我们的这个数字证书的签发者 missionCA证书没有安装到系统中。我们可以将证书库中别名为missionCA的自签数字证书导出为cer文件,然后安装到系统中。再次查双击看此证书,如下图所示:
到此,我们己经获得了一个由我们自己的 CA签名颁发的个人数字证书。并且将我们自己的CA证书安装到系统中成为系统信任的根证书。于是,以后只要是由我们的这个CA证书签名颁发的数字证书都会受到系统的信任。
发表评论
-
java中文问题的分类
2008-12-23 13:12 747中文问题的分类及其建议最优解决办法 <?xml:name ... -
Java编程—多态性
2009-01-05 17:46 699Java编程—多态性 8.5. ... -
Java编程——继承(二)
2009-01-05 17:48 648方法覆盖 前面介绍了继承的一些基础知识,现在介绍一 ... -
Java编程——类(二)
2009-01-05 18:01 6028.2.2.3 构造方法声明 构 ... -
详细解析Java中抽象类和接口的区别
2009-01-06 13:46 658在Java语言中, abstract ... -
[强列推荐]关于java的hashCode方法
2009-03-12 11:39 786[强列推荐]关于java的hashCode方法 有许多人学了 ... -
Java类完整的构造执行顺序
2009-04-02 11:17 1038Java类完整的构造执 ... -
java异常机制介绍
2009-04-28 14:35 806java异常机制介绍 Java 语言要求 java ... -
Java安全通信、数字证书及应用实践
2009-05-31 11:54 809Java安全通信、数字证书及应用实践【IT168 技术文档】一 ... -
Java安全通信、数字证书及应用实践
2009-05-31 11:55 830二、 Java中的数字证书 ... -
Java安全通信、数字证书及应用实践
2009-05-31 12:03 902四、运行我们的 applet 我们来写一个 html文件来 ... -
Java调用批处理或可执行文件
2009-06-24 15:24 965Java调用批处理或可执 ... -
Java SE 6 新特性: JMX 与系统管理
2009-06-29 14:39 8082006 年底,Sun 公司发布了 Java St ... -
Java:接口回调
2009-07-08 17:32 1112Java:接口回调 接口回调是指:可 ... -
Java Exception 处理之最佳实践
2009-07-08 17:48 746关键字: java/java编程 本文是Except ... -
JAVA对数字证书的常用操作
2009-07-10 10:54 764一需要包含的包 import java.security.* ... -
Java网络编程
2009-07-13 11:12 9221. 什么是TCP/ IP协议? 2. TCP/IP有哪 ... -
java 常用知识
2009-07-13 11:25 7421:关于设置的classpath: 1) ... -
Java语言中的面向对象特性
2009-07-13 11:33 1176课前索引 【课前思考 ...
相关推荐
### Java安全通信、数字证书及应用实践 #### 一、基础知识 在计算机网络通信中,保障数据的安全性和完整性至关重要。为了确保数据在传输过程中的安全,通常会采用一系列的技术手段来防止数据被篡改或窃取。其中,*...
Java 数字证书操作是网络安全领域中的重要组成部分,主要用于身份验证和数据加密,确保网络通信的安全。在Java中,我们可以利用Java Cryptography Extension (JCE) 和 Java Secure Socket Extension (JSSE) 这些强大...
在这个"Java 数字签名、数字证书生成源码"压缩包中,包含了实现这些功能的源代码,对于理解Java安全编程和实际应用具有很高的价值。 1. **数字签名** 数字签名是一种用于验证电子文档完整性和发送者身份的技术。在...
总之,`JAVA keytool`数字证书生成及应用是一个涵盖密钥对管理、证书创建、导入导出、以及安全配置等多个方面的重要话题。了解并熟练掌握这些操作,可以帮助开发者确保Java应用程序的安全性,并有效地进行网络通信的...
通过研究和实践这些源码,开发者可以深入理解Java的安全模型,学会如何在实际项目中实现数字签名和数字证书的功能,以确保通信的安全性。这将有助于提升开发者的专业技能,特别是在处理涉及敏感数据或网络通信的Java...
总之,Java数字证书是网络通信安全的关键组成部分,理解和熟练运用Java中关于数字证书的API,对于开发安全的应用至关重要。通过学习和实践,开发者可以创建自己的证书,管理KeyStore,以确保应用程序的数据传输和...
总的来说,这个主题涵盖了Java中处理加密和安全通信的关键技术,包括数字证书、HTTPS协议以及与之相关的类和接口。理解和熟练运用这些知识,将有助于构建安全、可靠的网络应用。在实际项目中,开发者需要根据具体...
这些源码可以作为学习和实践的起点,帮助开发者更好地理解和应用Java中的数字签名和数字证书技术。通过分析和运行这些代码,我们可以深入理解这些安全机制的工作原理,并在实际项目中使用它们来保护数据的安全,确保...
总之,Java 数字签名和数字证书是确保网络通信安全的重要工具。理解其工作原理并能够熟练地在Java中实现它们,对于任何Java开发者来说都是必要的技能。这个源码压缩包提供了实践这些概念的实际示例,是学习和研究的...
在安卓系统中,数字证书用于验证应用程序的签名,确保应用未被篡改,并且能够进行安全的网络通信,如HTTPS连接。 安卓系统支持多种类型的数字证书,包括X.509证书,它是互联网上最常用的证书格式。X.509证书包含...
3. **数字证书与密钥管理**:在SSL/TLS中,数字证书用于验证通信双方的身份,Java提供KeyManager和TrustManager接口来管理和验证证书。开发者可以使用KeyStore类来存储和管理私钥、公钥以及信任的根证书。 4. **...
8. **分布式Java应用的安全基础设施**:A Security Infrastructure for Distributed Java Applications.pdf可能涵盖了在分布式环境中保护服务和通信的策略,如SSL/TLS加密、数字证书、消息认证码和分布式会话管理。...
密钥交换过程中,服务器会发送其数字证书,包含公钥,客户端使用该公钥加密一个随机值,然后发送给服务器,服务器用私钥解密,这样双方就拥有了共享的秘密,用于后续的对称加密通信。证书验证则是为了确保服务器的...
《Java安全性编程指南》是一本深入探讨如何在Java平台上实现安全编程的重要著作。...通过深入理解和实践书中的知识,开发者能够创建出更加坚固、可靠的Java应用程序,抵御日益复杂的网络安全威胁。
在设计一个加密安全的Java即时通信系统时,我们需要考虑多个关键方面,确保用户数据的隐私和安全性。以下是一些核心知识点: 1. **Java平台**:Java是一种跨平台的编程语言,适合开发分布式网络应用程序,如即时...
在本"SSL安全网络通信源码"中,我们将探讨如何利用自签名的服务器端和客户端数字证书来实现双方的双向认证。 首先,让我们了解SSL通信的基本过程: 1. **握手阶段**:当客户端(例如浏览器)尝试连接到服务器时,...
Java安全性编程是一个重要的主题,尤其是在开发企业级应用或者网络服务时。它涉及到多个层面,包括防止恶意代码执行、保护用户数据、确保程序的完整性和稳定性等。本实例集主要关注如何在Java环境中实现安全的多线程...
7. Java安全套接字扩展包(JSSE):用于在Java应用程序中实现SSL/TLS加密,确保网络通信的安全性。 8. Java鉴别与授权服务(JAAS):用于处理用户认证和授权,提供了一种标准的机制来处理Java应用程序的安全需求。 ...