Verifica del certificato rispetto all'archivio certificati Java tramite CLI
https://stackoverflow.com/questions/437375
-
22-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Come posso verificare un certificato X509 (o formato DER) sull'archivio certificati Java tramite la riga di comando?
Ho esaminato l'utilizzo dell'utilità keytool , ma sembra che gestisca solo la funzionalità di importazione / esportazione / visualizzazione (nessuna verifica).
EDIT: sembra che keytool possa essere usato per la verifica, ma solo se si tenta di importare. Suppongo che un modo migliore di porre queste domande sia se è disponibile un approccio più passivo (come in: non modificare il keystore). Grazie!
Soluzione
Questa pagina potrebbe semplificare eccessivamente:
http://java.sun.com/docs /books/tutorial/security/toolfilex/rstep1.html
Ma non sembra che nemmeno l'importazione con keytool esegua una vera verifica di un certificato. Non vedo alcuna descrizione della verifica della firma del certificato in entrata rispetto alla firma di un altro certificato attendibile.
jarsigner verificherà una firma su un vaso firmato, ma non farà nulla per verificare la firma sul certificato utilizzato per firmare il vaso.
Temo che dovresti scrivere uno strumento per fare la verifica o cercare uno strumento commerciale che lo faccia. Penso che alcuni dei kit di strumenti PKI avrebbero uno strumento di verifica del certificato che farebbe questo.
Altri suggerimenti
Puoi usare keytool per esportare i certificati necessari (quelli che sono nella catena per quello che devi verificare) dal keystore Java in file X.509 . Quindi, concatenali insieme in un unico file. Infine, utilizzare openssl per eseguire la verifica.
openssl verify -CAfile concatenated-certs.crt cert-to-verify.crt
Non è una soluzione perfetta dal momento che implica estrarre i certificati dal truststore, ma dovrebbe funzionare dato ciò con cui si sta iniziando.
