التحقق من شهادة ضد جافا مخزن الشهادات عن طريق CLI
-
22-07-2019 - |
سؤال
وكيف يمكنني التحقق من X509 (أو تنسيق DER) شهادة ضد مخزن الشهادات جافا عن طريق سطر الأوامر؟
ولقد بحثت في استخدام الأداة المساعدة keytool
، ولكن يبدو أنه يعالج فقط استيراد / تصدير / وظائف العرض (لا يمكن التحقق منها).
وتحرير: يبدو كما لو keytool
يمكن استخدامها للتحقق، ولكن فقط إذا تم الشروع في استيراد. أفترض طريقة أفضل من طرح هذا الأسئلة هو ما إذا كان نهج أكثر سلبية (كما في: لا تعديل تخزين المفاتيح) هو متاح. شكرا!
المحلول
وهذه الصفحة يمكن التبسيط:
http://java.sun.com/docs /books/tutorial/security/toolfilex/rstep1.html
ولكن لا تبدو حتى الاستيراد مع keytool يقوم التحقق الحقيقي للشهادة. أنا لا نرى أي وصف للتحقق من التوقيع على شهادة واردة على توقيع شهادة أخرى موثوق به.
وjarsigner سوف تحقق من صحة توقيع على جرة وقعت، ولكنه لا يفعل أي شيء للتحقق من التوقيع على الشهادة المستخدمة لتوقيع الجرة.
وأخشى كنت إما أن تكتب أداة للقيام verfication، أو للبحث عن أداة التجارية التي تقوم به. أعتقد أن بعض مجموعات الأدوات PKI سيكون لديهم أداة التحقق من الشهادة التي من شأنها أن تفعل هذا.
نصائح أخرى
ويمكنك استخدام keytool
إلى export
الشهادات المطلوبة (تلك التي هي في سلسلة لاحد تحتاج إلى التحقق) من مخزن مفاتيح جافا إلى ملفات X.509. ثم، سلسلة معا في ملف واحد. وأخيرا، استخدام openssl
للقيام التحقق.
openssl verify -CAfile concatenated-certs.crt cert-to-verify.crt
وليس الحل الأمثل لأنه ينطوي على تفرقع موتس من truststore، ولكن يجب أن تعمل في ضوء ما كنت بدأت مع.