8
我需要在Windows上構建證書鏈,從X.509智能卡證書通過一個或多箇中間CA到根CA.當CA證書位於JKS密鑰庫中時,這很容易,但我也需要使用Windows密鑰庫。從Windows密鑰庫對中間CA進行Java訪問?
我可以從「Windows-ROOT」獲得根CA證書,但我無法進入「中級證書頒發機構」密鑰庫。
有沒有人這樣做?
謝謝!
A
回答
8
SunMSCAPI加密提供程序只支持兩個密鑰存儲:Windows-MY(個人證書存儲)和Windows-ROOT(可信機構證書存儲),因此我不認爲有可能直接訪問其他Windows證書存儲。但它可能不是必需的,因爲Windows-MY密鑰庫似乎能夠使用來自其他存儲的證書構建證書鏈。
這裏是一個代碼段我使用來測試它:
KeyStore ks = KeyStore.getInstance("Windows-MY");
ks.load(null, null) ;
Enumeration en = ks.aliases() ;
while (en.hasMoreElements()) {
String aliasKey = (String)en.nextElement() ;
Certificate c = ks.getCertificate(aliasKey) ;
System.out.println("---> alias : " + aliasKey) ;
if (ks.isKeyEntry(aliasKey)) {
Certificate[] chain = ks.getCertificateChain(aliasKey);
System.out.println("---> chain length: " + chain.length);
for (Certificate cert: chain) {
System.out.println(cert);
}
}
如果我添加與所述個人證書存儲的鏈長度爲1。私鑰單個證書中的中間CA添加CA之後證書存儲在我啓動程序的第二時間,現在鏈長爲2
UPDATE(四月2日) 有可能在Windows-MY和Windows-ROOT密鑰庫有一些限制以編程方式添加證書:
- 添加在
Windows-ROOT證書時,用戶被提示確認 - 所有證書中的密鑰庫
Windows-MY加入是TrustedCertificateEntry(從視點密鑰庫,而不是在Windows的觀點)。密鑰庫似乎用所有可用的證書構建了最長的鏈。 - 沒有關聯私鑰的證書在Windows證書存儲瀏覽器中不可見,但可以通過編程方式刪除它們。
添加在密鑰庫中的證書很簡單:
Certificate c = CertificateFactory.getInstance("X.509").generateCertificate(new FileInputStream("C:/Users/me/Downloads/myca.crt"));
KeyStore.TrustedCertificateEntry entry = new KeyStore.TrustedCertificateEntry(c);
ks.setEntry("CA1", entry , null);
1
JCS有了答案,但我想說明一些僞這樣:
// load the Windows keystore
KeyStore winKeystore = KeyStore.getInstance("Windows-MY", "SunMSCAPI");
winKeystore.load(null, null);
// add the user's smart card cert to the keystore
winKeystore.setCertificateEntry(myAlias, userCertificate);
// build the cert chain! this will include intermediate CAs
Certificate[] chain = winKeystore.getCertificateChain(myAlias);
的Windows證書鏈不驗證因爲它們已經建好了,但現在你可以通過創建一個CertPath和PKIXParameters並使用它們來驗證鏈。
CertPathValidator certPathValidator = CertPathValidator.getInstance(CertPathValidator.getDefaultType());
certPathValidator.validate(certPath, params);
相關問題
- 1. Java密鑰庫中的中間CA證書
- 2. 從私鑰和CA證書包創建java密鑰庫
- 3. 在Java中訪問密鑰庫證書
- 4. 訪問證書密鑰庫
- 5. 使用Windows密鑰庫進行客戶端驗證的Java HTTPS
- 6. 將公鑰從受信任的根CA導入PKCS12密鑰庫
- 7. 如何從Windows密鑰庫中解密RSA密鑰?
- 8. 從Magento獲取訪問密鑰和訪問令牌密鑰
- 9. java使用密鑰對進行加密和解密?
- 10. 使用OpenSSL密鑰進行Java加密
- 11. 訪問密鑰:Matlab中的值對
- 12. 從jck密鑰庫中導出密鑰
- 13. 進出證書Java密鑰庫
- 14. 在ngMessages中訪問父數組進行唯一密鑰驗證
- 15. 是否有可能從無簽名的java代碼訪問密鑰庫中的密鑰?
- 16. 從F#庫訪問Windows名稱空間
- 17. 如何在Java中使用ECC對密鑰進行非對稱加密?
- 18. 訪問密鑰對來查找密鑰並返回值
- 19. 如何在對象訪問動態密鑰值的密鑰angularjs
- 20. 在java中使用共享密鑰進行加密/解密?
- 21. 通過密鑰訪問JavaScript對象
- 22. Java:綁定Windows密鑰
- 23. java和android密鑰庫路徑問題
- 24. 訪問java密鑰庫編程創建SSLSocketFactory
- 25. 記住使用Java Applet訪問密鑰庫的智能卡PIN
- 26. 如何從YAML文件訪問密鑰的子密鑰?
- 27. 從Windows服務進行DirectX訪問
- 28. 運行Java進程時隱藏JKS密鑰庫/信任庫密碼
- 29. 如何從Ruby訪問GNOME密鑰環?
- 30. 從密鑰在Ruby哈希訪問值
是的,如果用戶的證書在個人商店中沒有問題。我想知道我是否可以通過編程方式添加它? – Mermeister 2011-04-01 16:51:10
是的,這是可能的。我用更多細節更新我的答案。 – Jcs 2011-04-02 07:42:50
這工作!我從智能卡檢索我的用戶證書,以編程方式將其添加到Windows-MY商店,然後使用Windows密鑰存儲庫構建鏈。 – Mermeister 2011-04-07 19:56:57