Как я могу получить список доверенных корневых сертификатов в Java?

Я хотел бы иметь возможность программно получить доступ ко всем доверенным корневым сертификатам в приложении Java.

Я смотрел на интерфейс хранилища ключей, но я надеюсь получить список доверенных корней, которые неявно присутствуют в JRE.

Это где-нибудь доступно?


java certificate keystore
person Shawn D.    schedule 18.08.2010    source источник

Ответы (2)


arrow_upward
41
arrow_downward

Существует пример, показывающий, как получить набор корневых сертификатов и выполнить итерацию по ним, который называется Список наиболее надежных центров сертификации (ЦС) в хранилище ключей. Вот слегка измененная версия, которая распечатывает каждый сертификат (проверено в Windows Vista).

import java.io.File;
import java.io.FileInputStream;
import java.io.IOException;
import java.security.InvalidAlgorithmParameterException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.cert.CertificateException;
import java.security.cert.PKIXParameters;
import java.security.cert.TrustAnchor;
import java.security.cert.X509Certificate;
import java.util.Iterator;


public class Main {

    public static void main(String[] args) {
        try {
            // Load the JDK's cacerts keystore file
            String filename = System.getProperty("java.home") + "/lib/security/cacerts".replace('/', File.separatorChar);
            FileInputStream is = new FileInputStream(filename);
            KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType());
            String password = "changeit";
            keystore.load(is, password.toCharArray());

            // This class retrieves the most-trusted CAs from the keystore
            PKIXParameters params = new PKIXParameters(keystore);

            // Get the set of trust anchors, which contain the most-trusted CA certificates
            Iterator it = params.getTrustAnchors().iterator();
            while( it.hasNext() ) {
                TrustAnchor ta = (TrustAnchor)it.next();
                // Get certificate
                X509Certificate cert = ta.getTrustedCert();
                System.out.println(cert);
            }
        } catch (CertificateException e) {
        } catch (KeyStoreException e) {
        } catch (NoSuchAlgorithmException e) {
        } catch (InvalidAlgorithmParameterException e) {
        } catch (IOException e) {
        } 
    }
}
person Bill the Lizard    schedule 18.08.2010
comment
хорошо, я попробую это. (проходит время) Это сработало. Вы знаете, что грустно, так это то, что пароль для хранилища ключей по умолчанию действительно «changeit». Спасибо. - person Shawn D.; 18.08.2010
comment
Вы знаете лучший пароль для хранилища ключей по умолчанию? - person Thorbjørn Ravn Andersen; 18.08.2010
comment
есть ли способ изменить пароль по умолчанию?? - person Jaime Hablutzel; 13.05.2011
comment
@jaime: вы можете изменить его с помощью keytool. sslshopper.com/ - person Bill the Lizard; 13.05.2011
comment
Скорее всего, это будет работать в большинстве случаев, но не гарантируется: stackoverflow.com/a/8885263/372643 - person Bruno; 01.05.2012
comment
Этот код имеет существенные ограничения, ИМО. Например, если хранилище доверенных сертификатов по умолчанию установлено с использованием системных свойств (javax.net.ssl.trustStore, javax.net.ssl.trustStorePassword, javax.net.ssl.trustStoreType и т. д.), то этот код в конечном итоге загрузит неправильное доверие хранить. Этот тип кода также вызовет проблемы в средах, в которых хранилище доверенных сертификатов по умолчанию было заменено чем-то вроде NSS (для соответствия FIPS). - person jsight; 29.11.2012
comment
@Bill - этот класс извлекает наиболее надежные центры сертификации из хранилища ключей - пожалуйста, простите мое невежество ... что означает наиболее надежные? - person jww; 28.04.2014
comment
@jww наиболее доверенный в этом случае просто ссылается на якорь доверия (en.wikipedia.org/wiki/Trust_anchor ). В приведенном выше примере это будут доверенные центры сертификации или органы, которые выдают/подписывают сертификаты сайта, который вы можете посетить, или URL-адрес, с которым вы можете взаимодействовать. - person josh-cain; 11.11.2015
comment
Exampledepot.com сейчас продается (2018). Но эта ссылка кажется хорошей java2s.com/Tutorial/Java/0490__Security/ - person datafiddler; 14.03.2018

arrow_upward
16
arrow_downward

Это должно быть более гибким, используя хранилище доверенных сертификатов по умолчанию в системе для получения всех сертификатов:

TrustManagerFactory trustManagerFactory =
   TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
List<Certificate> x509Certificates = new ArrayList<>();
trustManagerFactory.init((KeyStore)null);                 
Arrays.asList(trustManagerFactory.getTrustManagers()).stream().forEach(t -> {
                    x509Certificates.addAll(Arrays.asList(((X509TrustManager)t).getAcceptedIssuers()));
                });

```

person k_o_    schedule 20.10.2016
comment
требуется Android N - person Greg; 08.03.2017