JAVA获取服务器证书以及请求OCSP查询证书状态

2023-11-23 07:40

本文主要是介绍JAVA获取服务器证书以及请求OCSP查询证书状态,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

应用场景:leader需要做个监控程序扫描自己网站的服务器证书状态是否符合设置,出现异常则发短信/Email给管理人员。

假设我们要监控的URL是https://baidu.com,首先使用URL建立https通道,连接正常则服务器会发送证书回客户端。

JAVA需要用到的jar包,bouncy castle相关的包,大家自行下载。maven配置:

<dependency><groupId>org.bouncycastle</groupId><artifactId>bcprov-jdk15on</artifactId><version>${bouncycastle.version}</version></dependency><dependency><groupId>org.bouncycastle</groupId><artifactId>bcpkix-jdk15on</artifactId><version>${bouncycastle.version}</version></dependency><dependency><groupId>org.bouncycastle</groupId><artifactId>bcmail-jdk15on</artifactId><version>${bouncycastle.version}</version></dependency><dependency><groupId>org.bouncycastle</groupId><artifactId>bctls-jdk15on</artifactId><version>${bouncycastle.version}</version></dependency><dependency><groupId>org.bouncycastle</groupId><artifactId>bcprov-ext-jdk15on</artifactId><version>${bouncycastle.version}</version></dependency><dependency><groupId>org.bouncycastle</groupId><artifactId>bcpg-jdk15on</artifactId><version>${bouncycastle.version}</version></dependency>

获取服务器证书代码如下:

public List<X509Certificate> getServerCertificates(String url) {try {// http转httpsif (url.startsWith("http:")) {url = url.replace("http", "https");} else if (url.indexOf("http") < 0) {url = "https://" + url;}
//			enableTLSChainTesting(false);ArrayList<X509Certificate> list = new ArrayList<X509Certificate>();URL urlConnect = new URL(url);HttpsURLConnection conn = (HttpsURLConnection) urlConnect.openConnection();// 设置请求基本属性conn.setRequestProperty("accept", "*/*");conn.setRequestProperty("connection", "Keep-Alive");conn.setRequestProperty("user-agent", "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;SV1)");//创建sslsocket通道conn.setSSLSocketFactory(createSSLFactory());conn.connect();if (conn.getResponseCode() == HttpURLConnection.HTTP_OK) {Certificate[] certs = conn.getServerCertificates();for (Certificate cert : certs) {if (cert instanceof X509Certificate) {list.add((X509Certificate) cert);} else {logger.info("Unsupported certificate type.  type=" + cert.getClass().getName());}}return list;}return null;} catch (SSLHandshakeException se) {// 无法验证throw new MonitorException(se.getMessage(), se.getCause());} catch (Exception e) {throw new MonitorException(e.getMessage());}}

在上面代码中需要创建SSLSocket,需要有个可信任源来验证服务器证书。如果没有信任源则会产生此类错误,unable to find valid certification path to requested target

下面是创建信任源以及返回sslsocket的两种方式:

public SSLSocketFactory createSSLFactory() {try {//此类型自己创建一个类实现TrustManager亦可在实现类里判断SSLContext sc = SSLContext.getInstance("TLS");sc.init(null, new TrustManager[] { new TrustAllX509TrustManager() }, new java.security.SecureRandom());return sc.getSocketFactory();/*//此类型自己创建jks文件导入信任证书KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType());InputStream is =getClass().getClassLoader().getResourceAsStream("config/webtrust.jks");keystore.load(is, null);TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());tmf.init(keystore); SSLContext ctx = SSLContext.getInstance("SSL");ctx.init(null, tmf.getTrustManagers(), null); SSLSocketFactory sf =ctx.getSocketFactory();return sf;*/} catch (Exception e) {e.printStackTrace();}return null;}

我这里业务需求需要信任所有证书,否则服务器证书过期,则获取不到certificates,出现握手错误。

TrustAllX509TrustManager.java如下:

class TrustAllX509TrustManager implements X509TrustManager {public X509Certificate[] getAcceptedIssuers() {return new X509Certificate[0];}public void checkClientTrusted(java.security.cert.X509Certificate[] certs,String authType) {}public void checkServerTrusted(java.security.cert.X509Certificate[] certs,String authType) {}}

到目前为止,则可以获取服务器的证书了。

验证证书吊销状态在CA机构的CRL文件可以验证,但是想要获取证书的即时状态就需要访问CA机构的OCSP服务了。

CA机构的OCSP服务地址一般都是在证书上面的,如图:

那我们怎么通过代码获取到该扩展项并且去请求OCSP服务地址来验证证书呢?

首先将获取回来的证书强转到X509Certificate格式,然后获取证书的der格式证书,然后再获取扩展项

使用扩展项可以获取到颁发者机构信息,再根据特定的OID获取URL。代码如下:

TBSCertificate tbs = TBSCertificate.getInstance(cert.getTBSCertificate());Extensions extensions = tbs.getExtensions();AuthorityInformationAccess access = AuthorityInformationAccess.fromExtensions(extensions);AccessDescription[] descs = access.getAccessDescriptions();for (AccessDescription desc : descs) {if (desc.getAccessMethod().getId().equalsIgnoreCase("1.3.6.1.5.5.7.48.1")) {ocspUrl = desc.getAccessLocation().getName().toString();}}

到这里就能获取到证书上面CA机构的OCSP服务器地址。

还需要创建OCSP request去请求,所有CA机构的OCSP服务器都是按照RCF6960协议来进行定义的,需要了解的朋友可以看下

https://www.rfc-editor.org/rfc/pdfrfc/rfc6960.txt.pdf

具体可以参考4.1.1的ocsp request的参数结构。

 public static OCSPReq buildOCSPRequest(final X509Certificate x509Certificate, final X509Certificate issuerX509Certificate)  {try {CertificateID certId = new CertificateID((new BcDigestCalculatorProvider()).get(CertificateID.HASH_SHA1),new X509CertificateHolder(issuerX509Certificate.getEncoded()),x509Certificate.getSerialNumber());final OCSPReqBuilder ocspReqBuilder = new OCSPReqBuilder();ocspReqBuilder.addRequest(certId);final OCSPReq ocspReq = ocspReqBuilder.build();return ocspReq;} catch (Exception e) {e.printStackTrace();}return null; }

贴下我这边的请求创建,对这块的了解也是初始阶段,有熟悉的老铁可以交流交流。

具体的请求:

使用http协议和get请求,将得到的ocsp request进行URLDecode,具体的意思英文不好的同学自己google翻译下。请求服务器返回的流反序列化成OCSPResp对象。这个对象是在bouncycastle包里面的。

下面是对OCSPResp对象的解析操作。判断证书处于哪个状态。

if (OCSPResp.SUCCESSFUL == ocspResp.getStatus()) {// 连接成功BasicOCSPResp basic = (BasicOCSPResp) ocspResp.getResponseObject();SingleResp[] resps = basic.getResponses();if (resps != null && resps.length == 1) {SingleResp resp = resps[0];CertificateStatus certStatus = resp.getCertStatus();if (certStatus == CertificateStatus.GOOD) {// 证书正常状态gdcaCertResp.setStatus(OcspResp.CERT_STATUS_GOOD);} else {if (certStatus instanceof RevokedStatus) {// 证书吊销gdcaCertResp.setStatus(OcspResp.CERT_STATUS_REVOKED);gdcaCertResp.setRevokeTime(((RevokedStatus) certStatus).getRevocationTime());logger.warn("The Certificate was revoked!revokedTime:{}", gdcaCertResp.getRevokeTime());} else if (certStatus instanceof UnknownStatus) {gdcaCertResp.setStatus(OcspResp.CERT_STATUS_UNKNOWN);}}}}

到这里就完成了获取服务器证书和验证服务器证书的操作了。

 

这篇关于JAVA获取服务器证书以及请求OCSP查询证书状态的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/416386

相关文章

Java反转字符串的五种方法总结

《Java反转字符串的五种方法总结》:本文主要介绍五种在Java中反转字符串的方法,包括使用StringBuilder的reverse()方法、字符数组、自定义StringBuilder方法、直接... 目录前言方法一:使用StringBuilder的reverse()方法方法二:使用字符数组方法三:使用自

JAVA封装多线程实现的方式及原理

《JAVA封装多线程实现的方式及原理》:本文主要介绍Java中封装多线程的原理和常见方式,通过封装可以简化多线程的使用,提高安全性,并增强代码的可维护性和可扩展性,需要的朋友可以参考下... 目录前言一、封装的目标二、常见的封装方式及原理总结前言在 Java 中,封装多线程的原理主要围绕着将多线程相关的操

MySQL中实现多表查询的操作方法(配sql+实操图+案例巩固 通俗易懂版)

《MySQL中实现多表查询的操作方法(配sql+实操图+案例巩固通俗易懂版)》本文主要讲解了MySQL中的多表查询,包括子查询、笛卡尔积、自连接、多表查询的实现方法以及多列子查询等,通过实际例子和操... 目录复合查询1. 回顾查询基本操作group by 分组having1. 显示部门号为10的部门名,员

Java进阶学习之如何开启远程调式

《Java进阶学习之如何开启远程调式》Java开发中的远程调试是一项至关重要的技能,特别是在处理生产环境的问题或者协作开发时,:本文主要介绍Java进阶学习之如何开启远程调式的相关资料,需要的朋友... 目录概述Java远程调试的开启与底层原理开启Java远程调试底层原理JVM参数总结&nbsMbKKXJx

Spring Cloud之注册中心Nacos的使用详解

《SpringCloud之注册中心Nacos的使用详解》本文介绍SpringCloudAlibaba中的Nacos组件,对比了Nacos与Eureka的区别,展示了如何在项目中引入SpringClo... 目录Naacos服务注册/服务发现引⼊Spring Cloud Alibaba依赖引入Naco编程s依

java导出pdf文件的详细实现方法

《java导出pdf文件的详细实现方法》:本文主要介绍java导出pdf文件的详细实现方法,包括制作模板、获取中文字体文件、实现后端服务以及前端发起请求并生成下载链接,需要的朋友可以参考下... 目录使用注意点包含内容1、制作pdf模板2、获取pdf导出中文需要的文件3、实现4、前端发起请求并生成下载链接使

Java springBoot初步使用websocket的代码示例

《JavaspringBoot初步使用websocket的代码示例》:本文主要介绍JavaspringBoot初步使用websocket的相关资料,WebSocket是一种实现实时双向通信的协... 目录一、什么是websocket二、依赖坐标地址1.springBoot父级依赖2.springBoot依赖

如何用java对接微信小程序下单后的发货接口

《如何用java对接微信小程序下单后的发货接口》:本文主要介绍在微信小程序后台实现发货通知的步骤,包括获取Access_token、使用RestTemplate调用发货接口、处理AccessTok... 目录配置参数 调用代码获取Access_token调用发货的接口类注意点总结配置参数 首先需要获取Ac

Java逻辑运算符之&&、|| 与&、 |的区别及应用

《Java逻辑运算符之&&、||与&、|的区别及应用》:本文主要介绍Java逻辑运算符之&&、||与&、|的区别及应用的相关资料,分别是&&、||与&、|,并探讨了它们在不同应用场景中... 目录前言一、基本概念与运算符介绍二、短路与与非短路与:&& 与 & 的区别1. &&:短路与(AND)2. &:非短

Java的volatile和sychronized底层实现原理解析

《Java的volatile和sychronized底层实现原理解析》文章详细介绍了Java中的synchronized和volatile关键字的底层实现原理,包括字节码层面、JVM层面的实现细节,以... 目录1. 概览2. Synchronized2.1 字节码层面2.2 JVM层面2.2.1 ente