第六节 数字化身份-CertPath证书链.pptVIP

第六章 数字化身份－CertPath证书链 主要内容 使用Keytool工具和JAVA程序创建并保存证书链 从证书文件、密钥库或HTTPS服务器获取证书链的CertPath 显示和保存证书链中的证书 验证证书链 使用CertStore来保存和提取证书 吊销证书 证书链 证书链本质上是一组按顺序排列的数字证书，又称为认证链、证书路径。证书链证明了证书的合法性，证书链合法，则可以相信证书中所宣称的某个主体拥有某个公钥。 例如：A的证书由B颁发，B由C颁发，C由D颁发，这样就形成了一个4个证书组成的证书链：A-B-C-D.若要验证A的证书是否值得信任，只要检验者信任B,C,D中的任一个证书即可。 密钥库中创建并保存证书链的几种方法 1、使用Keytool将已签名的数字证书导入密钥库 使用-import参数可以将数字证书导入到密钥库，主要要先导入CA的证书 （1）将第五章的密钥库lfkeystore，mytest.cer,lf.cer,lf_signed.cer拷入一个文件夹 （2）若先导入lf_signed.cer会出错，因为CA mytest还没有导入，无法建立证书链。要先导入mytest.cer (3)最后导入lf_signed.cer覆盖自签名的lf 2、使用JAVA程序将已签名的数字证书导入到密钥库 例：首先读取CA的证书mytest.cer和用户收到的签名后的证书lf_signed.cer,使用这两个证书组成证书链，然后从用户的密钥库读取私钥，最后执行KeyStore对象的SetKeyEntry()方法将私钥和证书一起写入密钥库，并用store()方法保存为文件即可。 先copy lfkeystore.bak.before.6.1.1 lfkeystore Java ImportCert 几种获取CertPath证书链的方法 CertPath类代表证书链 (1)根据证书文件生成CertPath类型的对象 例：用.cer文件生成CertPath类型的对象，并将其中所有的文件打印出来。Java GetCertPathCert lf_signed.cer mytest.cer1.txt (2)从密钥库读取证书链生成CertPath类型的对象 1)获取相关参数 2）获取KeyStore对象并加载密钥库 3）从密钥库读取数组形式的证书链 4）生成列表对象 5）创建CertPath类型的对象 例：从密钥库中逐个读取证书形成密钥链并打印出来。Java GetCertPathtKs lfkeystore2 wshr.ut lf 2.txt Java GetCertPathtKs lfkeystore newpass lf_signed3.txt (3)从HTTPS服务器获取证书链 数字证书在网络上各种HTTPS服务器上用得很多，这些服务器对应的是https://...格式的网址，一般使用443作为端口号。 编程步骤： 1）创建SSLServerSocketFactory类型的对象。 2）创建SSLSocket类型的对象。 3）和HTTPS服务器建立连接 4）获取连接的会话 5）获取证书 6）将证书数组中的内容放入列表 7）由列表对象创建CertPath类型的对象 例：GetCertPathHttps java GetCertPathHttps verisign.txt CertPath对象的证书显示和保存 （1）显示CertPath中的证书 1）获取CertPath类型的对象 2）从CertPath对象获取证书列表。 3）处理列表。 例：用.cer文件得到CertPath对象，并提取该对象中包含的证书。 Java ShowCertPath lf_signed.cer mytest.cer xxx.txt (2)保存CertPath中的证书 1)获取CertPath类型的对象 2）创建密钥库 3）获取CertPath中的证书数组 4）将CertPath中的证书写入密钥库。 5）保存密钥库 例：将CertPath对象中的证书保存到密钥库并进而导出到文件中。 运行Java StoreCert之后，将创建密钥库MyCertPathStore,可以用 Keytool –list –keystore MyCertPathStore查看密钥库的内容。 结果截图 验证CertPath证书链 （1）验证主体和签发者 例：验证证书链中各个证书的签发者和证书链中后一个证书的主体名称是否匹配。 编程步骤： 1）获取证书数组 2）遍历证书数组 3）比较 Java ValiSubIssu my0.cer my1.cer my2.cer （2）验证签名 例：验证证书链中各个证书的签名是否正确。证书链中第i个证书是使用第i+1个证书的公钥来验