x509证书解析

A. java如何解读证书里的内容（通过string 来生成X509Certificate对象）

那个字符串是Base64编码后的

试着把String 转成inputStream，

InputStream inStream = new ByteArrayInputStream（caString.getBytes（'UTF-8'））；用这句替代 上面写的第二行代码。但是在执行第四行的时候报错。。

java.security.cert.CertificateException: Could not parse certificate: java.io.IOException: Unsupported encoding

B. openssl，x509，crt，cer，key，csr，ssl，tls 这些都是什么鬼

OpenSSL：是一个抄安全套接字层密码库袭。
X.509：是一种非常通用的证书格式。
crt （证书文件）：客户端认证的证书。
CER 编辑 CER有两层意思：用于存储公钥证书的文件格式。
key：SSL证书钥匙（证书密钥）
csr：证书SSL证书前提文件（审批请求文件，里面包括域名、联系人信息 ）
ssl：是为网络通信提供安全及数据完整性的一种安全协议（常见SSL证书用于HTTPS）
TLS：安全传输层协议（TLS）用于在两个通信应用程序之间提供保密性和数据完整性。

总结：以上是用于SSL证书加密的专业格式文件。

C. 【openssl编程】x509证书解析问题

内存错误原因不明，调用其他函数有时候也会出现类似错误，X509结构体符合ASN1编码规则，其定义在asn1.h中有说明，可以利用其结构体自己写函数，注意部分可以调用i2a_ASN1_...函数解析，但我调用有时候也会报内存错误

D. 如何使用openssl 读取 x509证

用php的openssl_x509_parse函数解析用户证书user.cer和根证书server.cer ,在比较用户证书与根证书的颁发机构等信息,如果是相同的则说明用户证书是根证书颁发，即为合法证书，反之则不合法生成证书成功，但打开myCer.crt证书读取时，执行到d2i_X509(&x,(const unsigned char)&buf,len) 时，返回空。不加下面这几行，就提示uplink错误,加了以后x值为0:extern "C"{#undef APPMACROS_ONLY#include

E. x509的详细特征

所有的X.509证书包含以下数据：1、X.509版本号：指出该证书使用了哪种版本的X.509标准，版本号会影响证书中的一些特定信息。目前的版本是3。
2、证书持有人的公钥：包括证书持有人的公钥、算法(指明密钥属于哪种密码系统)的标识符和其他相关的密钥参数。
3、证书的序列号：由CA给予每一个证书分配的唯一的数字型编号，当证书被取消时，实际上是将此证书序列号放入由CA签发的CRL（Certificate Revocation List证书作废表，或证书黑名单表）中。这也是序列号唯一的原因。
4、主题信息：证书持有人唯一的标识符(或称DN-distinguished name)这个名字在 Internet上应该是唯一的。DN由许多部分组成，看起来象这样：
CN=Bob Allen, OU=Total Network Security Division
O=Network Associates, Inc.
C=US
这些信息指出该科目的通用名、组织单位、组织和国家或者证书持有人的姓名、服务处所等信息。
5、证书的有效期：证书起始日期和时间以及终止日期和时间；指明证书在这两个时间内有效。
6、认证机构：证书发布者，是签发该证书的实体唯一的CA的X.509名字。使用该证书意味着信任签发证书的实体。(注意：在某些情况下，比如根或顶级CA证书，发布者自己签发证书)
7、发布者的数字签名：这是使用发布者私钥生成的签名，以确保这个证书在发放之后没有被撰改过。
8、签名算法标识符：用来指定CA签署证书时所使用的签名算法。算法标识符用来指定CA签发证书时所使用的公开密钥算法和HASH算法。
X.509证书格式
为了利用公共密钥这种密码系统，必须将公共密钥分发出去。最通用的一种签名证书格式被称为X.509格式。X.509格式的证书被VeriSign、微软、网景和其他许多公司广泛应用于对电子邮件消息进行签名，对程序代码进行认证，以及对许多其他类型的数据进行认证等等。X.509标准是由国际电话标准机构，即国际电报电话咨询委员会（CCITT）提出的用于目录服务的X.500系列建议的组成部分。
X.509证书的具体结构是用一种形式化表示来描述的，称为抽象语法表示法#1（abstract syntax notation）即ASN.1。图9-13显示了第三版X.509格式的ASN.1定义。虽然具体的语法对我们并不重要，但是你可以看到，ASN.1为证书文件的结构给出了精确的定义。基本编码规则（basic encoding rules），即BER，精确地描述了如何将该结构保存为二进制文件。也就是说，BER描述了如何对整数、字符串、位串以及诸如SEQUENCE、CHOICE和OPTIONAL的结构进行编码的方法。 [Certificate ::= SEQUENCE {
tbsCertificate TBSCertificate,
signatureAlgorithm AlgorithmIdentifier,
signature BIT STRING
}
TBSCertificate ::= SEQUENCE {
version [0] EXPLICIT Version DEFAULT v1,
serialNumber CertificateSerialNumber,
signature AlgorithmIdentifier,
issuer Name,
validity Validity,
subject Name,
subjectPublicKeyInfo SubjectPublicKeyInfo,
issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL,
-- If present, version must be v2or v3
subjectUniqueID [2] IMPLICIT UniqueIdentifier OPTIONAL,
-- If present, version must be v2or v3
extensions [3] EXPLICIT Extensions OPTIONAL
-- If present, version must be v3
}
Version ::= INTEGER {
v1(0), v2(1), v3(2)
}
CertificateSerialNumber ::= INTEGER
Validity ::= SEQUENCE {
notBefore CertificateValidityDate,
notAfter CertificateValidityDate
}
CertificateValidityDate ::= CHOICE {
utcTime UTCTime,
generalTime GeneralizedTime
}
UniqueIdentifier ::= BIT STRING
SubjectPublicKeyInfo ::= SEQUENCE {
algorithm AlgorithmIdentifier,
subjectPublicKey BIT STRING
}
Extensions ::= SEQUENCE OF Extension
Extension ::= SEQUENCE {
extnID OBJECT IDENTIFIER,
critical BOOLEAN DEFAULT FALSE,
extnValue OCTET STRING
} 解析X509证书
1.从磁盘上的证书文件中读取证书数据
unsigned char* pbX509Data; // 证书数据
unsigned long ulX509DataLen; // 证书数据长度
2.获取CertContext
PCCERT_CONTEXT pCertContext = CertCreateCertificateContext(X509_ASN_ENCODING, pbX509Data, ulX509DataLen);
3.获取证书信息
pCertContext->pCertInfo->dwVersion; // 证书版本号
CRYPT_INTEGER_BLOB snBlob = pCertContext->pCertInfo->SerialNumber; // 证书SN
CERT_NAME_BLOB issuerBlob = pCertContext->pCertInfo->Issuer; // 证书颁发者
CERT_NAME_BLOB subjectBlob = pCertContext->pCertInfo->Subject; // 证书主题
// 证书有效起始日期
SYSTEMTIME sysTime;
memset(&sysTime, 0, sizeof(sysTime));
FileTimeToSystemTime(&pCertContext->pCertInfo->NotBefore, &sysTime);
char szTime[128] = {0};
sprintf_s(szTime, 128, %d年%d月%d日 %d:%d:%d, sysTime.wYear, sysTime.wMonth, sysTime.wDay, sysTime.wHour, sysTime.wMinute, sysTime.wSecond);
// 证书有效终止日期
memset(&sysTime, 0, sizeof(sysTime));
FileTimeToSystemTime(&pCertContext->pCertInfo->NotAfter, &sysTime);
memset(szTime, 0, sizeof(szTime));
sprintf_s(szTime, 128, %d年%d月%d日 %d:%d:%d, sysTime.wYear, sysTime.wMonth, sysTime.wDay, sysTime.wHour, sysTime.wMinute, sysTime.wSecond);
4.创建临时密钥容器
HCRYPTPROV hTmpProv = NULL;
CryptAcquireContext(&hTmpProv, My_Temporary_Container, NULL, PROV_RSA_AES, 0); // NULL表示使用系统默认CSP
5.向容器中导入公钥，获取公钥句柄
HCRYPTKEY hKey = NULL;
CERT_PUBLIC_KEY_INFO certPubKeyInfo = pCertContext->pCertInfo->SubjectPublicKeyInfo;
CryptImportPublicKeyInfo(hTmpProv, X509_ASN_ENCODING|PKCS_7_ASN_ENCODING, &certPubKeyInfo, &hKey);
6.导出公钥（最好采用二次调用方式）
unsigned char* pBuf = NULL;
unsigned long ulBufLen = 0;
CryptExportKey(hKey, 0, PUBLICKEYBLOB, 0, pBuf, &ulBufLen);
pBuf = new unsigned char[ulBufLen];
memset(pBuf, 0, ulBufLen);
CryptExportKey(hKey, 0, PUBLICKEYBLOB, 0, pBuf, &ulBufLen);
7.获取公钥信息
unsigned char* p = pBuf + sizeof(PUBLICKEYSTRUC);
(*(RSAPUBKEY*)p).bitlen; // 公钥模长（以bit为单位）
(*(RSAPUBKEY*)p).pubexp; // 公钥的e（注意字节顺序）
p += sizeof(RSAPUBKEY); // 公钥的n（注意字节顺序）
8.清理工作
delete[] pBuf;
pBuf = NULL;
CryptDestroyKey(hKey);
CryptReleaseContext(hTmpProv, 0);
CertFreeCertificateContext(pCertContext);

F. 什么是X509格式的证书在java中能否使用X509Certificate对象获得证书的私钥信息

证书里怎么可能有私钥嘛，异想天开

G. java如何解读证书里的内容（通过string 来生成X509Certificate对象）

那个字符串是Base64编码后的

试着把String 转成inputStream，

InputStream inStream = new ByteArrayInputStream（caString.getBytes（'UTF-8'））；用这句替代 上面写的第二行代码。但是在执行版第四行的权时候报错。。

java.security.cert.CertificateException: Could not parse certificate: java.io.IOException: Unsupported encoding

H. 如何获取数字证书(x509Certificate)中的指纹算法

创建X509证书方法较多，在Windows 环境下大致总结了几中办法，
1) 通过CA获取证书，
2) 通过微软提供的makecert 工具得到测试证书
3) 编程的方法创建，.Net提供了 X509Certificate2 类，该类可以用于创建证书，但只能从RawData中创建，创建后无法修改除FriendlyName以外的任何属性。

我在互联网上找了很久，始终没有找到完全通过程序创建自定义的证书的方法。后来想了一个折中办法，就是用程序调用 makecert.exe 先生成一个证书，证书的一些参数如Subject，有效期，序列号等可以通过参数传入，然后把生成的证书文件读到Rawdata中，得到X509Certificate2 类型的证书对象。当然这种方法确实比较笨，必须要依赖外部进程。等后面有时间的话，我还是想按照X509 V3 标准，自己创建RawData，然后生成证书，这样应该是比较灵活的做法。不知道网友们有没有什么更好的方法来创建一个自定义的证书。

通过 makecert.exe 创建X509证书的代码如下，供大家参考

static object semObj = new object();

/// <summary>
/// 自定义的证书信息
/// </summary>
public class T_CertInfo
{
public String FriendlyName;
public String Subject;
public DateTime BeginDate;
public DateTime EndDate;
public int SerialNumber;
}

/// <summary>
/// 生成X509证书
/// </summary>
/// <param name="makecrtPath">makecert进程的目录</param>
/// <param name="crtPath">证书文件临时目录</param>
/// <param name="certInfo">证书信息</param>
/// <returns></returns>
public static X509Certificate2 CreateCertificate(String makecrtPath, String crtPath,
T_CertInfo certInfo)
{
Debug.Assert(certInfo != null);
Debug.Assert(certInfo.Subject != null);

string MakeCert = makecrtPath + "makecert.exe";
string fileName = crtPath + "cer";

string userName = Guid.NewGuid().ToString();

StringBuilder arguments = new StringBuilder();

arguments.AppendFormat("-r -n \"{0}\" -ss my -sr currentuser -sky exchange ",
certInfo.Subject);

if (certInfo.SerialNumber > 0)
{
arguments.AppendFormat("-# {0} ", certInfo.SerialNumber);
}

arguments.AppendFormat("-b {0} ", certInfo.BeginDate.ToString(@"MM\/dd\/yyyy"));
arguments.AppendFormat("-e {0} ", certInfo.EndDate.ToString(@"MM\/dd\/yyyy"));
arguments.AppendFormat("\"{0}\"", fileName);

I. 如何将证书字符串转换为X509结构

（1）Openssl生成公私钥
使用Openssl是为了生成公钥和私钥对，用于外部商户系统和xxx系统之间报文的安全性验证。如果使用者不需要生成公私钥，而是直接对报文进行处理，则参考第四部分，计算摘要及签名值。
1. 安装openssl步骤直接点击exe文件。出现需要安装vs2008插件的，直接忽略。

2. 在安装过程中找到OpenSSL相应的安装目录，进入bin目录下找到openssl.exe可执行文件，点击运行。然后分别按顺序输入如下命令：
a. genrsa –out private-rsa.key 1024
说明:该命令是生成一个没有加密的私钥
genrsa 生成私钥文件，私钥存储在private-rsa.key中，长度为1024。out后面指定输出文件名。
private-rsa.key 为生成的私钥文件，但该文件必须经过处理得到私钥。

b. req –new –x509 –key private-rsa.key –days 750 –outpublic-rsa.cer
说明：根据private-rsa.key生成证书public-rsa.cer
-new 表示新的请求
-509 表示输出的证书结构
750表示证书有效天数
-out public-rsa.cer -out后面表示公钥证书，用于验证数字签名，此公钥证书或者公钥需要提前发送给需要验证本单位或部门数据的接收方。

c. pkcs12 –export –name test-alias –in public-rsa.cer–inkey private-rsa.key –out 99bill-rsa.pfx
说明：生成PKCS12 格式Keystore
密码前后输入要一致，这个密码在用Keystore生成公私钥过程中会用到。
Public-rsa.cer, private-rsa.key是之前生成的。

附1：
下述代码是从99bill-rsa.pfx中获取私钥的Java版本代码。因为private-rsa.key中生成的私钥无法直接使用，必须进行一定的处理。
代码有几个注意点：
文件流初始化路径需要根据自己的实际路径来填写。
密码是在第二节中c步骤中的密码，本实例输入的是suning。
KeyStorekeyStore = KeyStore.getInstance("PKCS12");
= newFileInputStream("D:/OpenSSL/bin/99bill-rsa.pfx");
char[]nPassword = "suning".toCharArray();
StringkeyAlias = null;
keyStore.load(fileInputStream,nPassword);
fileInputStream.close();
System.out.println("keystoretype=" + keyStore.getType());
Enumerationenumeration = keyStore.aliases();
if(enumeration.hasMoreElements())
{
keyAlias = (String) enumeration.nextElement();
System.out.println("alias=[" + keyAlias +"]");
}
System.out.println("iskey entry=" + keyStore.isKeyEntry(keyAlias));
PrivateKeyprikey = (PrivateKey) keyStore.getKey(keyAlias, nPassword);
//私钥转成字符串
StringprivateStr = Base64.encodeBase64String(prikey.getEncoded()).trim();
//生成公钥字符串，还可以通过cer证书生成
Certificatecert = keyStore.getCertificate(keyAlias);
PublicKeypubkey = cert.getPublicKey();
StringpublicStr = Base64.encodeBase64String(pubKey.getEncoded()).trim();
注意：
1. 所用类的说明：
Base64:
import org.apache.commons.net.util.Base64;
Certificate:
import java.security.cert.Certificate;
2. 在openssl生成公私钥过程中，用户输入了密码。本例中密码为suning。

1. 摘要及生成方法
摘要的生成过程(digest方法全部实现了下述3个过程)：
1. 根据key对传来的map数据排序；
2. 生成a1=b1&a2=b2&a3=b3形式的字符串，排除某些字符串Key值；
3. 调用digest方法进行md5编码；
以上三步均通过Digest.digest()方法实现：
String digest = Digest.digest(Map map, String... keys);
传递的http报文体body内容如a1=b1&a2=b2&a3=b3形式的字符串，提取出需要加签的字符串并转成map形式。execludeKes是要排除的字段，是一个字符串数组。
计算摘要这一步很关键，因为选取的字段要求发送方和接收方必须一致，即发送方对哪些字段计算摘要，那么同样地接收方也必须对相同的字段计算摘要，否则会报6601的错误。
说明：a. Map是存储了计算摘要的字段
b. keys表示排除的字段，不能用于计算摘要的字段，如signature,signAlgorithm
2. 公钥证书及字符串转换方法
转换的目的：便于存储。(商户直接提供公钥证书也可以，但是对于向验签系统提供公钥字符串的商户，需要用下述代码把公钥转成字符串)
1. 公钥/私钥字符串转成公钥/私钥，主要是把字符串转成公钥PublicKey
X509EncodedKeySpec pubKeySpec = newX509EncodedKeySpec(Base64.decodeBase64(strPubKey));
KeyFactorykeyFactory = KeyFactory.getInstance(RSA);
PublicKeypubKey = keyFactory.generatePublic(pubKeySpec);
2. 公钥或私钥转成Base64字符串：
StringpublicStr = Base64.encodeBase64String(pubKey.getEncoded()).trim();
3. 公私钥验证方法
验证目的：公私钥生成之后，需要验证是否匹配。(之前许多商户生成公私钥混乱，无法确定公私钥是否匹配就添加到验签系统中)。此代码由用户自己用junit验证运行。验证公私钥生成是否正确，如果result为true，则说明公私钥生成正确；否则生成的公私钥有问题，不能使用。
String prik1 ="";
String pubb ="";
String data ="wkk";
String digest =Digest.digest(data);
PrivateKey privateKey =RSAUtil.getPrivateKey(prik1);
String sign =RSAUtil.sign(digest, privateKey);
boolean result =RSAUtil.vertiy(digest, sign,
RSAUtil.getPublicKey(pubb));
System.out.println(result);

J. x509 证书解析

http://blog.csdn.net/tsh185/article/details/8600079
这个参来考下自，不知是否对你有帮助