Stellen Sie sicher, Zertifikat gegen Java Zertifikatsspeicher via CLI
-
22-07-2019 - |
Frage
Wie kann ich eine X509 (oder DIE-Format) Zertifikat gegen den Java-Zertifikatspeicher über die Kommandozeile überprüfen?
Ich habe in mit dem keytool
Dienstprogramm aussehen, aber es sieht aus wie es nur Import / Export / Display-Funktionalität (keine Überprüfung) behandelt.
EDIT: Es sieht aus, als ob keytool
zur Überprüfung verwendet werden kann, aber nur, wenn ein Import versucht wird. Ich nehme ein besserer Weg, diese Fragen zu stellen, ist, ob ein passiver Ansatz (wie in: nicht den Schlüsselspeicher zu ändern) zur Verfügung steht. Dank!
Lösung
Diese Seite könnte zu einfach:
http://java.sun.com/docs /books/tutorial/security/toolfilex/rstep1.html
Aber es wie auch Import sieht nicht mit keytool tut eine echte Überprüfung eines Zertifikats. Ich sehe keine Beschreibung von der Signatur des eingehenden Zertifikats mit der Unterschrift eines anderen vertrauenswürdigen Zertifikats zu überprüfen.
jarsigner wird eine Signatur auf einer signierten jar zu überprüfen, aber nicht alles tun, um die Signatur auf dem Zertifikat zu überprüfen, verwendet, um das Glas zu unterschreiben.
Ich fürchte, würden Sie entweder ein Tool zu schreiben, die Verifizierung zu tun, oder suchen Sie nach einem kommerziellen Tool, das es tut. Ich würde denken, dass einige der PKI-Tool-Kits ein Zertifikat-Verifizierungswerkzeug haben würden, die dies tun würden.
Andere Tipps
Sie können keytool
verwenden, um die benötigten Zertifikate export
(jene, die Sie für die in der Kette müssen überprüfen) aus dem Java-Schlüsselspeicher in X.509-Dateien. Dann verketten sie zusammen in einer Datei. Schließlich verwenden openssl
die Überprüfung zu tun.
openssl verify -CAfile concatenated-certs.crt cert-to-verify.crt
Keine perfekte Lösung dar, da es sich um die certs aus dem Trusts knallen, aber es sollte gegeben arbeiten, was Sie mit beginnen.