التحقق من شهادة ضد جافا مخزن الشهادات عن طريق CLI
https://stackoverflow.com/questions/437375
-
22-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
وكيف يمكنني التحقق من X509 (أو تنسيق DER) شهادة ضد مخزن الشهادات جافا عن طريق سطر الأوامر؟
ولقد بحثت في استخدام الأداة المساعدة keytool، ولكن يبدو أنه يعالج فقط استيراد / تصدير / وظائف العرض (لا يمكن التحقق منها).
وتحرير: يبدو كما لو keytool يمكن استخدامها للتحقق، ولكن فقط إذا تم الشروع في استيراد. أفترض طريقة أفضل من طرح هذا الأسئلة هو ما إذا كان نهج أكثر سلبية (كما في: لا تعديل تخزين المفاتيح) هو متاح. شكرا!
المحلول
وهذه الصفحة يمكن التبسيط:
http://java.sun.com/docs /books/tutorial/security/toolfilex/rstep1.html
ولكن لا تبدو حتى الاستيراد مع keytool يقوم التحقق الحقيقي للشهادة. أنا لا نرى أي وصف للتحقق من التوقيع على شهادة واردة على توقيع شهادة أخرى موثوق به.
وjarsigner سوف تحقق من صحة توقيع على جرة وقعت، ولكنه لا يفعل أي شيء للتحقق من التوقيع على الشهادة المستخدمة لتوقيع الجرة.
وأخشى كنت إما أن تكتب أداة للقيام verfication، أو للبحث عن أداة التجارية التي تقوم به. أعتقد أن بعض مجموعات الأدوات PKI سيكون لديهم أداة التحقق من الشهادة التي من شأنها أن تفعل هذا.
نصائح أخرى
ويمكنك استخدام keytool إلى export الشهادات المطلوبة (تلك التي هي في سلسلة لاحد تحتاج إلى التحقق) من مخزن مفاتيح جافا إلى ملفات X.509. ثم، سلسلة معا في ملف واحد. وأخيرا، استخدام openssl للقيام التحقق.
openssl verify -CAfile concatenated-certs.crt cert-to-verify.crt
وليس الحل الأمثل لأنه ينطوي على تفرقع موتس من truststore، ولكن يجب أن تعمل في ضوء ما كنت بدأت مع.
