Получение цепочки сертификатов

Question

Я работаю с сертификатами X509 на Java. Учитывая сертификат, можно ли найти все другие сертификаты в иерархии подписи до получения корневого сертификата?

У меня есть файл сертификата (с расширением .cer), и я хочу извлечь родительский сертификат подписи. Я хочу продолжать находить родителя этого сертификата, пока не получу окончательный корневой сертификат, который сам подписан.

Я проверил API сертификатов X509Certificate и соответствующие API в java.security.cert, но не нашел ничего полезного.

Answer 1

Это не сложно - если вы каким-то образом/вне диапазона получили все промежуточные сертификаты и корневой сертификат в одном или нескольких цепочках ключей.

Посмотрите

http://codeautomate.org/blog/2012/02/certificate-validation-using-java/ 

для кода пропущено, который делает именно это. Бит ключа в validateKeyChain() и в основном состоит из

cert = cert-to-validate 
    while(not self signed) { 
     extract issuer from cert 
     scan keychain(s) to find cert with a subject equal to the issuer 
     if none found - error 
     check if the signature is correct. 
     cert = issuers_cert 
    } 
    if not at the top/root - error 

Как как вы получаете промежуточные/корневые сертификаты - это другой вопрос. Обратите внимание, что этот код немного наивен - и не совсем понимает перекрестное подписание. Java pkix называет, хотя, например, BouncyCastle.

Обычно вы можете создать корневые сертификаты в цепочку ключей; но промежуточные сертификаты часто должны быть «собраны» или обнаружены более динамично. Обычно это требует запроса стека SSL во время TLS или аналогичного.