Verifique el certificado con el almacén de certificados Java a través de CLI
https://stackoverflow.com/questions/437375
-
22-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Cómo puedo verificar un certificado X509 (o con formato DER) en el almacén de certificados Java a través de la línea de comandos?
He examinado el uso de la utilidad keytool , pero parece que solo maneja la funcionalidad de importación / exportación / visualización (sin verificación).
EDITAR: parece que keytool puede usarse para la verificación, pero solo si se intenta una importación. Supongo que una mejor manera de hacer estas preguntas es si hay disponible un enfoque más pasivo (como en: no modificar el almacén de claves). Gracias!
Solución
Esta página podría simplificar demasiado:
http://java.sun.com/docs /books/tutorial/security/toolfilex/rstep1.html
Pero no parece que incluso importar con keytool haga una verdadera verificación de un certificado. No veo ninguna descripción de verificar la firma del certificado entrante contra la firma de otro certificado de confianza.
jarsigner verificará una firma en un jar firmado, pero no hace nada para verificar la firma en el certificado utilizado para firmar el jar.
Me temo que tendrías que escribir una herramienta para hacer la verificación o buscar una herramienta comercial que lo haga. Creo que algunos de los kits de herramientas PKI tendrían una herramienta de verificación de certificados que haría esto.
Otros consejos
Puede usar keytool para exportar los certificados necesarios (los que están en la cadena para el que necesita verificar) del almacén de claves Java en archivos X.509 . Luego, concatenelos juntos en un solo archivo. Finalmente, use openssl para hacer la verificación.
openssl verify -CAfile concatenated-certs.crt cert-to-verify.crt
No es una solución perfecta ya que implica extraer los certificados del almacén de confianza, pero debería funcionar dado lo que está comenzando.
