Bouncy Castle:使用现有CA签名的证书
Bouncy Castle: 使用现有CA签名的证书
基础概念
Bouncy Castle 是一个开源的Java库,提供了大量的加密算法实现,包括SSL/TLS协议、数字签名、消息摘要等。使用现有CA(证书颁发机构)签名的证书意味着你使用一个受信任的第三方CA来签署你的SSL/TLS证书,以确保你的网站或服务的安全性。
相关优势
- 安全性:由受信任的CA签发的证书被大多数浏览器和操作系统自动信任,减少了中间人攻击的风险。
- 兼容性:全球范围内的广泛认可确保了用户访问时的无缝连接体验。
- 专业审核:CA会对申请者的身份进行验证,增加了网站的合法性和可信度。
类型
- DV(Domain Validation)证书:仅验证域名所有权。
- OV(Organization Validation)证书:验证域名所有权及公司身份。
- EV(Extended Validation)证书:最严格的验证流程,显示绿色地址栏和企业名称。
应用场景
- 电子商务网站:保护交易安全,增强用户信任。
- 金融机构:确保数据传输的安全性和完整性。
- 企业内部网络:用于VPN和内部通信的安全保障。
遇到的问题及解决方法
问题:如何使用Bouncy Castle生成一个由现有CA签名的证书?
解决方法:
- 生成私钥和证书签名请求(CSR):
KeyPairGenerator keyGen = KeyPairGenerator.getInstance("RSA");
keyGen.initialize(2048);
KeyPair keyPair = keyGen.generateKeyPair();
X509V3CertificateGenerator certGen = new X509V3CertificateGenerator();
certGen.setSerialNumber(BigInteger.valueOf(System.currentTimeMillis()));
certGen.setIssuerDN(new X500Principal("CN=MyCA"));
certGen.setNotBefore(new Date(System.currentTimeMillis() - 1000L * 60 * 60 * 24));
certGen.setNotAfter(new Date(System.currentTimeMillis() + (1000L * 60 * 60 * 24 * 365 * 10)));
certGen.setSubjectDN(new X500Principal("CN=mydomain.com"));
certGen.setPublicKey(keyPair.getPublic());
certGen.setSignatureAlgorithm("SHA256WithRSA");
X509CertificateHolder certHolder = certGen.generate(keyPair.getPrivate());- 将CSR发送给CA进行签名: 这一步通常通过CA提供的在线界面或API完成。你需要将生成的CSR提交给CA,并按照他们的指示完成签名过程。
- 导入CA签名的证书: 收到CA签名的证书后,你可以将其导入到你的服务器配置中。
InputStream inStream = new FileInputStream("signed_certificate.crt");
CertificateFactory cf = CertificateFactory.getInstance("X.509");
Collection<? extends Certificate> certs = cf.generateCertificates(inStream);
X509Certificate cert = (X509Certificate) certs.iterator().next();- 配置SSL/TLS: 使用导入的证书和私钥配置你的服务器以启用HTTPS。
SSLContext sslContext = SSLContext.getInstance("TLS");
KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
keyManagerFactory.init(keyStore, keyPassword.toCharArray());
sslContext.init(keyManagerFactory.getKeyManagers(), null, new SecureRandom());通过以上步骤,你可以成功使用Bouncy Castle和现有CA签名的证书来增强你的应用安全性。
相关·内容
1回答
我想用java创建一个CA自签名证书。我已经使用bouncy castle创建了一个自签名证书,但如何将基本约束添加到此证书才能成为CA证书。谢谢
浏览 3提问于2016-06-10得票数 1
我正在尝试创建一个证书(A),该证书是为存储在p12密钥库中的其他证书(B)签名的。此存储的证书(B)已添加到本地计算机的受信任证书存储中。证书A用于使用bouncy castle 1.52库对pdf文档进行签名,但我在签名文档中获得的数字签名是无效的。
如
浏览 23提问于2018-08-08得票数 1
回答已采纳
我有一个具有1024位密钥长度的自签名CA。是否可以使用此CA签署密钥长度更长(2048位)的服务器证书?我要签署服务器证书并为Active Directory服务配置该证书。我可以使用bouncy castle做到这一点。我关心的是1)这是一个好主意吗? 2)如何建立证书信任?这样可以吗?
浏览 2提问于2016-09-10得票数 0
1回答
根据这个docs,我需要为我的IoT设备生成所谓的引导程序证书。我假设对于引导程序证书生成,CA证书将通过AWS SDK下载并用于生成引导程序证书。我找不到多少合理的例子来说明如何使用java AWS SDK来做到这一点。谁能给出一个代码示例,说明我是如何做到这一点的?提前谢谢。
浏览 29提问于2019-10-08得票数 1
回答已采纳
我想在客户端设备(运行Xamarin.Forms的iOS或安卓手机)上创建一个非对称密钥对,并创建一个证书签名请求,将其发送到运行我的数据库的ASP.NET服务器上的linux Restful API为此,我在API上使用了Portable Bouncy Castle和net核心版本。发送的CSR将由自定义CA通过WebAPI签名,并添加到my DB上的证
浏览 37提问于2020-07-09得票数 1
回答已采纳
通过将Bouncy Castle添加为提供者,下面的代码片段: return false;根据cert的实现类java.security.InvalidKeyException: Suppli
浏览 0提问于2018-05-08得票数 0
如何将未加密的PEM证书及其关联的私钥读取到可用的C# Bouncy Castle对象中?我还没有找到任何简单的方法来用Bouncy Castle做到这一点。使用dotnet security的X509Certificate2要容易得多(只需将文件作为字节传递到其构造函数中),但是转换为弹性城堡X509Certificate和AsymmetricKeyParameter的相关私钥真
浏览 151提问于2020-12-17得票数 0
我使用bouncy castle库来生成证书签名请求,但我使用的不是它们提供的密钥对生成器函数,而是我生成的已知模数和指数的公钥。现在,我只想对细节进行哈希处理,并将其发送到另一台拥有签名私钥的服务器。私钥不会离开服务器。在bouncy castle或其他库中可以做到这一点吗?
浏览 5提问于2020-11-13得票数 0
1回答
我需要创建一个X509证书,使用Bouncy Castle作为CA证书。证书将手动添加到web浏览器的受信任CA列表中。它将用于签署服务器证书。它至少应该在最重要的浏览器中工作(当然,只在那些允许配置根CA<em
浏览 3提问于2015-07-25得票数 4
我想用java实现这个openssl语句(例如,使用bouncy castle)。openssl req -new -sub "newsub" -key dummy_key.pem -out request.pemopenssl x509 -req -CAkey "<
浏览 0提问于2016-08-03得票数 0
我正在写一个小的CA实现。可以从现有证书引导此CA。执行此操作后,我希望验证输入是否具有正确的扩展名: private static final Set<String> REQUIRED_CA_EXTENSIONS = Set.of(
Extension.keyUsage.getIdCertificateExtensions.getAll(certificate).containsAll(REQUIRED_CA_EXTENS
浏览 38提问于2020-01-27得票数 1
回答已采纳
1回答
这可能是一个愚蠢的问题,但有没有办法基于发给我的CSR创建(自签名的) X.509证书?我需要通过编程来完成这项工作。使用Java1.6和Bouncy-castle版本1.51。
提前感谢!
浏览 0提问于2017-04-27得票数 0
我正在尝试使用Bouncy Castle的DefaultTlsClient与只使用密码套件TLS_ECDHE_ECDSA_WITH_AES_128_CCM_8的服务器进行交互。在搜索Bouncy Castle源代码时,我偶然发现了抽象的DefaultTlsClient,我想我也许能够使用它并覆盖GetCipherSuites方法,如下所示: public override intCastle是否真的
浏览 149提问于2020-12-16得票数 0
1回答
您的PKI签名验证的测试设置是什么?如果它们是你自己创建的,你是如何去做的,你使用了什么工具来生成被诽谤的签名?有问题的签名算法是PKCS#7分离的(在PDF中)
浏览 2提问于2019-10-16得票数 0
我想使用SSL来连接我的android应用程序和托管我的web服务的服务器。我想先使用自签名证书,然后再使用SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER我检查了这个和,并选择了第
浏览 1提问于2012-10-10得票数 0
回答已采纳
我使用的是方法。我想知道在决定证书的有效性时进行了哪些检查。我已验证当前用户/不受信任列表是否已选中。文档说它将使用“地址簿”存储,通过主题密钥标识符进行搜索,以构建证书链。我想这意味着本地计算机和当前用户证书存储?
我是否可以认为证书吊销和签名时间戳不会被检查?要进行证书吊销的OCSP检查,我必须使用Bouncy Castle吗?
浏览 0提问于2016-01-19得票数 0
我使用OpenSSL使用SHA256创建ECC证书。现在,我想使用这些证书对数据进行签名并验证现有签名。
我尝试使用DSACryptoServiceProvider,但它只支持SHA1或MD5。唯一的问题是,我不知道如何将私钥和公钥从我的X509Certificate2转换成必要的CngKey。我读到了另一个问题,有人描述了如何转换公钥。但是为了能够签署数据,我也需要私钥。因此,有
浏览 0提问于2014-09-18得票数 5
3回答
我需要在Java语言中用Bouncy Castle创建一个自签名的X509证书,但是我尝试包含的每个类都被弃用。我该如何解决这个问题呢?还有没有其他的类可以包含?谢谢
浏览 4提问于2015-04-25得票数 24
我需要迁移到Bouncy Castle但是我找不到任何函数来导入这种格式。
你能帮我翻译一下这段代码吗?
浏览 3提问于2013-10-17得票数 0
我正在使用Bouncy Castle在Java中签署CSR。在签名时,我希望将subject的X500Name从CSR复制到证书中,但是我希望将来自CSR的CN替换为自定义CN。基本上,克隆主题rdn列表但覆盖,或者为证书创建自定义CN。基本上,我在寻找类似这样的东西:xname.update("CN", "mycustomcn&qu
浏览 3提问于2018-04-12得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
