Stellen Sie sicher, Zertifikat gegen Java Zertifikatsspeicher via CLI

Question

Wie kann ich eine X509 (oder DIE-Format) Zertifikat gegen den Java-Zertifikatspeicher über die Kommandozeile überprüfen?

Ich habe in mit dem keytool Dienstprogramm aussehen, aber es sieht aus wie es nur Import / Export / Display-Funktionalität (keine Überprüfung) behandelt.

EDIT: Es sieht aus, als ob keytool zur Überprüfung verwendet werden kann, aber nur, wenn ein Import versucht wird. Ich nehme ein besserer Weg, diese Fragen zu stellen, ist, ob ein passiver Ansatz (wie in: nicht den Schlüsselspeicher zu ändern) zur Verfügung steht. Dank!

Answer 1

Diese Seite könnte zu einfach:

http://java.sun.com/docs /books/tutorial/security/toolfilex/rstep1.html

Aber es wie auch Import sieht nicht mit keytool tut eine echte Überprüfung eines Zertifikats. Ich sehe keine Beschreibung von der Signatur des eingehenden Zertifikats mit der Unterschrift eines anderen vertrauenswürdigen Zertifikats zu überprüfen.

jarsigner wird eine Signatur auf einer signierten jar zu überprüfen, aber nicht alles tun, um die Signatur auf dem Zertifikat zu überprüfen, verwendet, um das Glas zu unterschreiben.

Ich fürchte, würden Sie entweder ein Tool zu schreiben, die Verifizierung zu tun, oder suchen Sie nach einem kommerziellen Tool, das es tut. Ich würde denken, dass einige der PKI-Tool-Kits ein Zertifikat-Verifizierungswerkzeug haben würden, die dies tun würden.

Answer 2

Sie können keytool verwenden, um die benötigten Zertifikate export (jene, die Sie für die in der Kette müssen überprüfen) aus dem Java-Schlüsselspeicher in X.509-Dateien. Dann verketten sie zusammen in einer Datei. Schließlich verwenden openssl die Überprüfung zu tun.

openssl verify -CAfile concatenated-certs.crt cert-to-verify.crt

Keine perfekte Lösung dar, da es sich um die certs aus dem Trusts knallen, aber es sollte gegeben arbeiten, was Sie mit beginnen.