Vérifier le certificat par rapport au magasin de certificats Java via CLI

Question

Comment vérifier un certificat X509 (ou au format DER) par rapport au magasin de certificats Java via la ligne de commande?

J'ai utilisé l'utilitaire keytool , mais il semble qu'il ne gère que les fonctionnalités d'importation / exportation / d'affichage (pas de vérification).

EDIT: Il semble que keytool puisse être utilisé pour la vérification, mais uniquement si une importation est tentée. Je suppose qu'une meilleure façon de poser cette question est de savoir si une approche plus passive (comme dans: ne pas modifier le magasin de clés) est disponible ou non. Merci!

Answer 1

Cette page pourrait être trop simpliste:

http://java.sun.com/docs /books/tutorial/security/toolfilex/rstep1.html

Mais il ne semble pas que même l'importation avec keytool effectue une véritable vérification d'un certificat. Je ne vois aucune description de la vérification de la signature du certificat entrant par rapport à la signature d'un autre certificat de confiance.

jarsigner vérifiera une signature sur un fichier jar signé, mais ne fera rien pour vérifier la signature sur le certificat utilisé pour signer le fichier jar.

J'ai bien peur que vous deviez soit écrire un outil pour vérifier, soit chercher un outil commercial qui le fasse. Je pense que certaines des trousses à outils de l’ICP disposeraient d’un outil de vérification des certificats.

Answer 2

Vous pouvez utiliser keytool pour exporter les certificats nécessaires (ceux qui figurent dans la chaîne de celui que vous devez vérifier) ??du fichier de clés Java vers les fichiers X.509. . Ensuite, concaténez-les ensemble dans un seul fichier. Enfin, utilisez openssl pour effectuer la vérification.

openssl verify -CAfile concatenated-certs.crt cert-to-verify.crt

Ce n’est pas une solution parfaite, car cela implique de sortir les certificats de la banque de données de confiance, mais cela devrait fonctionner compte tenu de ce que vous avez commencé.