Java 如何检查X509证书是否为CA证书?
我有一个Java中的X509Certificate实例,我需要确定它是CA证书还是用户证书 有人能提供帮助吗Java 如何检查X509证书是否为CA证书?,java,certificate,x509certificate,ca,Java,Certificate,X509certificate,Ca,我有一个Java中的X509Certificate实例,我需要确定它是CA证书还是用户证书 有人能提供帮助吗 提前谢谢 根CA将是启用了keyCertSign标志的自签名证书。在大多数情况下,为了方便起见,通用名称可能包括单词CA。中间CA证书可以由根CA(或另一中间!)签名。您的brower密钥存储将有常用的可信CA证书示例 从 根据我所做的研究,可以通过检查基本约束来检查它! 检查返回的getBasicConstraints()方法的结果 因此,如果该方法返回结果!=-1,可以将证书视为CA
提前谢谢 根CA将是启用了
keyCertSignCACA根CA根据我所做的研究,可以通过检查基本约束来检查它! 检查返回的
getBasicConstraints()!=-1CA证书CA证书我还用几个用户证书检查了这个方法,结果该方法返回-1。X509Certificate.getKeyUsage()javadoc: 获取表示KeyUsage扩展(OID)位的布尔数组 = 2.5.29.15). 密钥使用扩展定义了中包含的密钥的用途(例如,加密、签名、证书签名) 证书。ASN.1对此的定义是:
KeyUsage ::= BIT STRING {
digitalSignature (0),
nonRepudiation (1),
keyEncipherment (2),
dataEncipherment (3),
keyAgreement (4),
keyCertSign (5), --> true ONLY for CAs
cRLSign (6),
encipherOnly (7),
decipherOnly (8) }
X509Certificate cert = ...;
boolean[] keyUsage = cert.getKeyUsage();
if ( keyUsage[5] ) {
// CA certificate
}
else {
// User certificate
}
哦,看看slims对Java中如何操作的回答!互操作性和标准的窗口!根据您的应用程序,您只需拨打电话,即猜测CA、客户端或提供某种机制让用户决定。每种情况都是危险的。你可能陷入了一个艰难的境地,在那里你需要平衡可用性和安全性。对严格和它的工作,太松懈和它的安全漏洞。您可能需要假设用户证书链必须由一组允许的根CA(例如JVM中包含的根CA)之一签名。我认为你必须提供选择,并迫使你的主管做出决定。你问了几个问题,这些问题已经得到了回答。你应该将答案标记为已接受,以回馈社区。对不起,我刚刚意识到该怎么做。谢谢你指点我接受答案。我想我在Android上发现了一个例外。在大多数API版本(大于API 15)上,它的工作原理如所述,但在API17上,它将返回
!=-1getBasicConstraints()-1证书。getKeyUsage()[5]==true!certificate.getKeyUsage()[5]keyUsage返回null。X509Certificate cert = ...;
boolean[] keyUsage = cert.getKeyUsage();
if ( keyUsage[5] ) {
// CA certificate
}
else {
// User certificate
}