今天来点实际工作中的硬通货!
与计费系统打交道,少不了用到加密/解密实现。为了安全起见,通过非对称加密交换对称加密密钥更是不可或缺。那么需要通过什么载体传递非对称算法公钥/私钥信息?数字证书是公钥的载体,而密钥库可以包含公钥、私钥信息。
JKS
和
PKCS#12
都是比较常用的两种密钥库格式/标准。对于前者,搞Java开发,尤其是接触过HTTPS平台的朋友,并不陌生。
JKS
文件(通常为*.jks或*.keystore,扩展名无关)可以通过Java原生工具——KeyTool生成;而后者
PKCS#12
文件(通常为*.p12或*.pfx,意味个人信息交换文件),则是通过更为常用的OpenSSL工具产生。
当然,这两者之间是可以通过导入/导出的方式进行转换的!当然,这种转换需要通过KeyTool工具进行!
回归正题,计费同事遇到一个难题:合作方交给他们一个*.pfx文件,需要他们从中提取密钥,然后进行加密交互。其实,通过Java直接操作密钥库文件(或个人信息交换文件)对于一般Java开发人员来说,这都是个冷门。不接触数字安全,根本不知所云。况且,Java原生的密钥库文件格式为JKS,如何操作*.pfx文件?密钥库操作需要获知密钥库别名,*.pfx别名是什么?!接下来就解决这些问题!
与计费系统打交道,少不了用到加密/解密实现。为了安全起见,通过非对称加密交换对称加密密钥更是不可或缺。那么需要通过什么载体传递非对称算法公钥/私钥信息?数字证书是公钥的载体,而密钥库可以包含公钥、私钥信息。
JKS
和
PKCS#12
都是比较常用的两种密钥库格式/标准。对于前者,搞Java开发,尤其是接触过HTTPS平台的朋友,并不陌生。
JKS
文件(通常为*.jks或*.keystore,扩展名无关)可以通过Java原生工具——KeyTool生成;而后者
PKCS#12
文件(通常为*.p12或*.pfx,意味个人信息交换文件),则是通过更为常用的OpenSSL工具产生。
当然,这两者之间是可以通过导入/导出的方式进行转换的!当然,这种转换需要通过KeyTool工具进行!
回归正题,计费同事遇到一个难题:合作方交给他们一个*.pfx文件,需要他们从中提取密钥,然后进行加密交互。其实,通过Java直接操作密钥库文件(或个人信息交换文件)对于一般Java开发人员来说,这都是个冷门。不接触数字安全,根本不知所云。况且,Java原生的密钥库文件格式为JKS,如何操作*.pfx文件?密钥库操作需要获知密钥库别名,*.pfx别名是什么?!接下来就解决这些问题!
方案:
- 通过keytool密钥库导入命令importkeystore,将密钥库格式由PKCS#12转换为JKS。
- 检索新生成的密钥库文件,提取别名信息。
- 由密钥库文件导出数字证书(这里将用到别名)。
- 通过代码提取公钥/私钥、签名算法等
先看格式转换:
Cmd代码
-
echo 格式转换
-
keytool -importkeystore -v -srckeystore zlex.pfx -srcstoretype pkcs12 -srcstorepass
123456
-destkeystore zlex.keystore -deststoretype jks -deststorepass
123456
-importkeystore
导入密钥库,通过格式设定,我们可以将PKCS#12文件转换为JKS格式。
-v
显示详情
-srckeystore
源密钥库,这里是zlex.pfx
-srcstoretype
源密钥库格式,这里为pkcs12
-srcstorepass
源密钥库密码,这里为123456
-destkeystore
目标密钥库,这里为zlex.keystore
-deststoretype
目标密钥库格式,这里为jks,默认值也如此
-deststorepass
目标密钥库密码,这里为123456
通过这个操作,我们能够获得所需的密钥库文件zlex.keystore。
这时,我们已经获得了密钥库文件,只要确定对应的别名信息,就可以提取公钥/私钥,以及数字证书,进行加密交互了!
Cmd代码
-
echo 查看证书
-
keytool -list -keystore zlex.keystore -storepass
123456
-v
-list
列举密钥库
-keystore
密钥库,这里是zlex.keystore
-storepass
密钥库密码,这里是123456
-v
显示详情
这里需要细致观察一下别名信息!!!就是红框中的数字1!!!
现在,我们把证书导出!
Cmd代码
-
echo 导出证书
-
keytool -exportcert -alias
1
-keystore zlex.keystore -file zlex.crt -storepass
123456
-exportcert
导出证书
-alias
别名,这里是1
-keystore
密钥库,这里是zlex.keystore
-file
证书文件,这里是zlex.crt
-storepass
密钥库密码,这里是123456
现在证书也导出了,我们可以提取公钥/私钥,进行加密/解密,签名/验证操作了!当然,即便没有证书,我们也能够通过密钥库(JKS格式)文件获得证书,以及公钥/私钥、签名算法等。
补充代码, 其实就是对
Java加密技术(八)
的修改!
Java代码
-
/**
-
* 2010-8-11
-
*/
-
-
import
java.io.FileInputStream;
-
import
java.security.KeyStore;
-
import
java.security.PrivateKey;
-
import
java.security.PublicKey;
-
import
java.security.Signature;
-
import
java.security.cert.Certificate;
-
import
java.security.cert.CertificateFactory;
-
import
java.security.cert.X509Certificate;
-
import
java.util.Date;
-
-
import
javax.crypto.Cipher;
-
-
/**
-
* 证书操作类
-
*
-
* @author <a href=”mailto:zlex.dongliang@gmail.com”>梁栋</a>
-
* @since 1.0
-
*/
-
public
class
CertificateCoder {
-
/**
-
* Java密钥库(Java Key Store,JKS)KEY_STORE
-
*/
-
public
static
final
String KEY_STORE =
“JKS”
;
-
-
public
static
final
String X509 =
“X.509”
;
-
-
/**
-
* 由 KeyStore获得私钥
-
*
-
* @param keyStorePath
-
* @param keyStorePassword
-
* @param alias
-
* @param aliasPassword
-
* @return
-
* @throws Exception
-
*/
-
private
static
PrivateKey getPrivateKey(String keyStorePath,
-
String keyStorePassword, String alias, String aliasPassword)
-
throws
Exception {
-
KeyStore ks = getKeyStore(keyStorePath, keyStorePassword);
-
PrivateKey key = (PrivateKey) ks.getKey(alias,
-
aliasPassword.toCharArray());
-
return
key;
-
}
-
-
/**
-
* 由 Certificate获得公钥
-
*
-
* @param certificatePath
-
* @return
-
* @throws Exception
-
*/
-
private
static
PublicKey getPublicKey(String certificatePath)
-
throws
Exception {
-
Certificate certificate = getCertificate(certificatePath);
-
PublicKey key = certificate.getPublicKey();
-
return
key;
-
}
-
-
/**
-
* 获得Certificate
-
*
-
* @param certificatePath
-
* @return
-
* @throws Exception
-
*/
-
private
static
Certificate getCertificate(String certificatePath)
-
throws
Exception {
-
CertificateFactory certificateFactory = CertificateFactory
-
.getInstance(X509);
-
FileInputStream in =
new
FileInputStream(certificatePath);
-
-
Certificate certificate = certificateFactory.generateCertificate(in);
-
in.close();
-
-
return
certificate;
-
}
-
-
/**
-
* 获得Certificate
-
*
-
* @param keyStorePath
-
* @param keyStorePassword
-
* @param alias
-
* @return
-
* @throws Exception
-
*/
-
private
static
Certificate getCertificate(String keyStorePath,
-
String keyStorePassword, String alias)
throws
Exception {
-
KeyStore ks = getKeyStore(keyStorePath, keyStorePassword);
-
Certificate certificate = ks.getCertificate(alias);
-
-
return
certificate;
-
}
-
-
/**
-
* 获得KeyStore
-
*
-
* @param keyStorePath
-
* @param password
-
* @return
-
* @throws Exception
-
*/
-
private
static
KeyStore getKeyStore(String keyStorePath, String password)
-
throws
Exception {
-
FileInputStream is =
new
FileInputStream(keyStorePath);
-
KeyStore ks = KeyStore.getInstance(KEY_STORE);
-
ks.load(is, password.toCharArray());
-
is.close();
-
return
ks;
-
}
-
-
/**
-
* 私钥加密
-
*
-
* @param data
-
* @param keyStorePath
-
* @param keyStorePassword
-
* @param alias
-
* @param aliasPassword
-
* @return
-
* @throws Exception
-
*/
-
public
static
byte
[] encryptByPrivateKey(
byte
[] data, String keyStorePath,
-
String keyStorePassword, String alias, String aliasPassword)
-
throws
Exception {
-
// 取得私钥
-
PrivateKey privateKey = getPrivateKey(keyStorePath, keyStorePassword,
-
alias, aliasPassword);
-
-
// 对数据加密
-
Cipher cipher = Cipher.getInstance(privateKey.getAlgorithm());
-
cipher.init(Cipher.ENCRYPT_MODE, privateKey);
-
-
return
cipher.doFinal(data);
-
-
}
-
-
/**
-
* 私钥解密
-
*
-
* @param data
-
* @param keyStorePath
-
* @param alias
-
* @param keyStorePassword
-
* @param aliasPassword
-
* @return
-
* @throws Exception
-
*/
-
public
static
byte
[] decryptByPrivateKey(
byte
[] data, String keyStorePath,
-
String alias, String keyStorePassword, String aliasPassword)
-
throws
Exception {
-
// 取得私钥
-
PrivateKey privateKey = getPrivateKey(keyStorePath, keyStorePassword,
-
alias, aliasPassword);
-
-
// 对数据加密
-
Cipher cipher = Cipher.getInstance(privateKey.getAlgorithm());
-
cipher.init(Cipher.DECRYPT_MODE, privateKey);
-
-
return
cipher.doFinal(data);
-
-
}
-
-
/**
-
* 公钥加密
-
*
-
* @param data
-
* @param certificatePath
-
* @return
-
* @throws Exception
-
*/
-
public
static
byte
[] encryptByPublicKey(
byte
[] data, String certificatePath)
-
throws
Exception {
-
-
// 取得公钥
-
PublicKey publicKey = getPublicKey(certificatePath);
-
// 对数据加密
-
Cipher cipher = Cipher.getInstance(publicKey.getAlgorithm());
-
cipher.init(Cipher.ENCRYPT_MODE, publicKey);
-
-
return
cipher.doFinal(data);
-
-
}
-
-
/**
-
* 公钥解密
-
*
-
* @param data
-
* @param certificatePath
-
* @return
-
* @throws Exception
-
*/
-
public
static
byte
[] decryptByPublicKey(
byte
[] data, String certificatePath)
-
throws
Exception {
-
// 取得公钥
-
PublicKey publicKey = getPublicKey(certificatePath);
-
-
// 对数据加密
-
Cipher cipher = Cipher.getInstance(publicKey.getAlgorithm());
-
cipher.init(Cipher.DECRYPT_MODE, publicKey);
-
-
return
cipher.doFinal(data);
-
-
}
-
-
/**
-
* 验证Certificate
-
*
-
* @param certificatePath
-
* @return
-
*/
-
public
static
boolean
verifyCertificate(String certificatePath) {
-
return
verifyCertificate(
new
Date(), certificatePath);
-
}
-
-
/**
-
* 验证Certificate是否过期或无效
-
*
-
* @param date
-
* @param certificatePath
-
* @return
-
*/
-
public
static
boolean
verifyCertificate(Date date, String certificatePath) {
-
boolean
status =
true
;
-
try
{
-
// 取得证书
-
Certificate certificate = getCertificate(certificatePath);
-
// 验证证书是否过期或无效
-
status = verifyCertificate(date, certificate);
-
}
catch
(Exception e) {
-
status =
false
;
-
}
-
return
status;
-
}
-
-
/**
-
* 验证证书是否过期或无效
-
*
-
* @param date
-
* @param certificate
-
* @return
-
*/
-
private
static
boolean
verifyCertificate(Date date, Certificate certificate) {
-
boolean
status =
true
;
-
try
{
-
X509Certificate x509Certificate = (X509Certificate) certificate;
-
x509Certificate.checkValidity(date);
-
}
catch
(Exception e) {
-
status =
false
;
-
}
-
return
status;
-
}
-
-
/**
-
* 签名
-
*
-
* @param keyStorePath
-
* @param alias
-
* @param keyStorePassword
-
* @param aliasPassword
-
* @return
-
* @throws Exception
-
*/
-
public
static
byte
[] sign(
byte
[] sign, String keyStorePath, String alias,
-
String keyStorePassword, String aliasPassword)
throws
Exception {
-
// 获得证书
-
X509Certificate x509Certificate = (X509Certificate) getCertificate(
-
keyStorePath, keyStorePassword, alias);
-
-
// 取得私钥
-
PrivateKey privateKey = getPrivateKey(keyStorePath, keyStorePassword,
-
alias, aliasPassword);
-
-
// 构建签名
-
Signature signature = Signature.getInstance(x509Certificate
-
.getSigAlgName());
-
signature.initSign(privateKey);
-
signature.update(sign);
-
return
signature.sign();
-
}
-
-
/**
-
* 验证签名
-
*
-
* @param data
-
* @param sign
-
* @param certificatePath
-
* @return
-
* @throws Exception
-
*/
-
public
static
boolean
verify(
byte
[] data,
byte
[] sign,
-
String certificatePath)
throws
Exception {
-
// 获得证书
-
X509Certificate x509Certificate = (X509Certificate) getCertificate(certificatePath);
-
// 获得公钥
-
PublicKey publicKey = x509Certificate.getPublicKey();
-
// 构建签名
-
Signature signature = Signature.getInstance(x509Certificate
-
.getSigAlgName());
-
signature.initVerify(publicKey);
-
signature.update(data);
-
-
return
signature.verify(sign);
-
-
}
-
-
/**
-
* 验证Certificate
-
*
-
* @param keyStorePath
-
* @param keyStorePassword
-
* @param alias
-
* @return
-
*/
-
public
static
boolean
verifyCertificate(Date date, String keyStorePath,
-
String keyStorePassword, String alias) {
-
boolean
status =
true
;
-
try
{
-
Certificate certificate = getCertificate(keyStorePath,
-
keyStorePassword, alias);
-
status = verifyCertificate(date, certificate);
-
}
catch
(Exception e) {
-
status =
false
;
-
}
-
return
status;
-
}
-
-
/**
-
* 验证Certificate
-
*
-
* @param keyStorePath
-
* @param keyStorePassword
-
* @param alias
-
* @return
-
*/
-
public
static
boolean
verifyCertificate(String keyStorePath,
-
String keyStorePassword, String alias) {
-
return
verifyCertificate(
new
Date(), keyStorePath, keyStorePassword,
-
alias);
-
}
-
}
相信上述代码已经帮朋友们解决了相当多的问题!
给出测试类:
Java代码
-
import
static
org.junit.Assert.*;
-
-
import
java.util.Date;
-
-
import
org.apache.commons.codec.binary.Hex;
-
import
org.junit.Test;
-
-
/**
-
* 证书操作验证类
-
*
-
* @author <a href=”mailto:zlex.dongliang@gmail.com”>梁栋</a>
-
* @version 1.0
-
* @since 1.0
-
*/
-
public
class
CertificateCoderTest {
-
private
String certificatePath =
“zlex.crt”
;
-
private
String keyStorePath =
“zlex.keystore”
;
-
private
String keyStorePassword =
“123456”
;
-
private
String aliasPassword =
“123456”
;
-
private
String alias =
“1”
;
-
-
@Test
-
public
void
test()
throws
Exception {
-
System.err.println(
“公钥加密——私钥解密”
);
-
String inputStr =
“Ceritifcate”
;
-
byte
[] data = inputStr.getBytes();
-
-
byte
[] encrypt = CertificateCoder.encryptByPublicKey(data,
-
certificatePath);
-
-
byte
[] decrypt = CertificateCoder.decryptByPrivateKey(encrypt,
-
keyStorePath, alias, keyStorePassword, aliasPassword);
-
String outputStr =
new
String(decrypt);
-
-
System.err.println(
“加密前: ”
+ inputStr +
“\n\r”
+
“解密后: ”
+ outputStr);
-
-
// 验证数据一致
-
assertArrayEquals(data, decrypt);
-
-
// 验证证书有效
-
assertTrue(CertificateCoder.verifyCertificate(certificatePath));
-
-
}
-
-
@Test
-
public
void
testSign()
throws
Exception {
-
System.err.println(
“私钥加密——公钥解密”
);
-
-
String inputStr =
“sign”
;
-
byte
[] data = inputStr.getBytes();
-
-
byte
[] encodedData = CertificateCoder.encryptByPrivateKey(data,
-
keyStorePath, keyStorePassword, alias, aliasPassword);
-
-
byte
[] decodedData = CertificateCoder.decryptByPublicKey(encodedData,
-
certificatePath);
-
-
String outputStr =
new
String(decodedData);
-
System.err.println(
“加密前: ”
+ inputStr +
“\n\r”
+
“解密后: ”
+ outputStr);
-
assertEquals(inputStr, outputStr);
-
-
System.err.println(
“私钥签名——公钥验证签名”
);
-
// 产生签名
-
byte
[] sign = CertificateCoder.sign(encodedData, keyStorePath, alias,
-
keyStorePassword, aliasPassword);
-
System.err.println(
“签名:\r”
+ Hex.encodeHexString(sign));
-
-
// 验证签名
-
boolean
status = CertificateCoder.verify(encodedData, sign,
-
certificatePath);
-
System.err.println(
“状态:\r”
+ status);
-
assertTrue(status);
-
}
-
-
@Test
-
public
void
testVerify()
throws
Exception {
-
System.err.println(
“密钥库证书有效期验证”
);
-
boolean
status = CertificateCoder.verifyCertificate(
new
Date(),
-
keyStorePath, keyStorePassword, alias);
-
System.err.println(
“证书状态:\r”
+ status);
-
assertTrue(status);
-
}
-
}
第一个测试方法,用于提取公钥/私钥进行加密/解密操作。
第二个测试方法,用于提取签名算法进行签名/验证操作。
第三个测试方法,用于测试密钥库该别名对应的证书,当前日期下,是否有效。
OK,任务完成,密钥成功提取,剩下的都是代码基本功了!
相关链接:
Java加密技术(一)——BASE64与单向加密算法MD5&SHA&MAC
Java加密技术(二)——对称加密DES&AES
Java加密技术(三)——PBE算法
Java加密技术(四)——非对称加密算法RSA
Java加密技术(五)——非对称加密算法的由来
Java加密技术(六)——数字签名算法DSA
Java加密技术(七)——非对称加密算法最高ECC
Java加密技术(八)——数字证书
Java加密技术(九)——初探SSL
Java加密技术(十)——单向认证
Java加密技术(十一)——双向认证
Java加密技术(十二)——*.PFX(*.p12)&个人信息交换文件
评论
qq_16225843
2016-04-28
引用
jpiverson
2014-10-11
引用
snowolf
2014-01-07
引用
第二版已出,你可以看下是否符合你的需要。整理的过程中,应该做了调整。
javagongzi
2014-01-02
引用
javalxx
2013-05-10
引用
请问如何解决?
foxblue_hg
2012-10-25
引用
cloudfile
2012-07-10
引用
测试通过,谢谢!
snowolf
2012-07-09
引用
jiao_zg22
2012-05-02
引用
不转的时候可以导入成功
沙舟狼客
2011-12-08
引用
snowolf
2010-11-18
引用
cer证书文件本身就是算法以及公钥的载体,而私钥就需要私密保存,不对外公布了!
maybe723
2010-11-17
引用
wukele
2010-08-12
引用