如何获取服务器证书链,然后验证它在Java中是否有效和可信

时间:2011-08-26 01:26:05

标签: java x509certificate

我需要与远程服务器建立Https连接,然后检索并验证证书。

我建立了良好的连接:

try {  
    url = new URL(this.SERVER_URL);  
    HttpURLConnection con = (HttpURLConnection) url.openConnection();   
    HttpsURLConnection secured = (HttpsURLConnection) con;  
    secured.connect(); 
}

但似乎getServerCertificateChain()方法未定义类型HttpsURLConnection

那么如何检索服务器证书链?我的理解是getServerCertificateChain()应返回X509Certificate个对象的数组,并且该类具有可用于查询证书的方法。

我需要验证:

  1. 证书有效且值得信赖,
  2. 根据证书序列号
    3. 检查证书吊销列表分发点
  3. 确保它未过期且
  4. 检查证书中的URL是否与另一个(我已经检索过)匹配。

    5. 我迷路了,非常感谢任何帮助!

3 个答案:

答案 0 :(得分:24)

您想要的方法是getServerCertificates,而不是getServerCertificateChain。有一些不错的示例代码here

修改

添加了一些我自己的示例代码。对你来说是个好的起点。不要忘记查看HttpsURLConnectionX509Certificate的Javadoc。

import java.net.URL;
import java.security.cert.Certificate;
import java.security.cert.CertificateExpiredException;
import java.security.cert.X509Certificate;

import javax.net.ssl.HttpsURLConnection;

public class TestSecuredConnection {

    /**
     * @param args
     */
    public static void main(String[] args) {
        TestSecuredConnection tester = new TestSecuredConnection();
        try {
            tester.testConnectionTo("https://www.google.com");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    public TestSecuredConnection() {
        super();
    }

    public void testConnectionTo(String aURL) throws Exception {
        URL destinationURL = new URL(aURL);
        HttpsURLConnection conn = (HttpsURLConnection) destinationURL
                .openConnection();
        conn.connect();
        Certificate[] certs = conn.getServerCertificates();
        for (Certificate cert : certs) {
            System.out.println("Certificate is: " + cert);
            if(cert instanceof X509Certificate) {
                try {
                    ( (X509Certificate) cert).checkValidity();
                    System.out.println("Certificate is active for current date");
                } catch(CertificateExpiredException cee) {
                    System.out.println("Certificate is expired");
                }
            }
        }
    }
}

答案 1 :(得分:2)

快速谷歌搜索让我使用BouncyCastle这个例子。我认为最好回答这个问题。 http://www.nakov.com/blog/2009/12/01/x509-certificate-validation-in-java-build-and-verify-chain-and-verify-clr-with-bouncy-castle/

答案 2 :(得分:1)

Kirby和arulraj.net提到的此示例代码已于2011年从Apache CXF中删除,并且不支持OCSP。 Apache PDFBox项目“恢复了”此代码,并添加了OCSP支持以及原始代码中缺少的更多功能,例如CRL签名检查。从2.0.13版开始,改进的源代码可在示例子项目的CertificateVerifier类中获得。它也是available online的改进之处。

该代码并未声称是完美的,并且尚未检查根是否受信任。 JIRA问题PDFBOX-3017中跟踪了开发情况。

相关问题
最新问题