Tôi đang sử dụng một SslServerSocketvà các chứng chỉ máy khách và muốn trích xuất CN từ SubjectDN từ máy khách X509Certificate.
Tại thời điểm tôi gọi cert.getSubjectX500Principal().getName()nhưng điều này tất nhiên cho tôi tổng số DN được định dạng của khách hàng. Vì một số lý do tôi chỉ quan tâm đến CN=theclientmột phần của DN. Có cách nào để trích xuất phần DN này mà không cần tự phân tích chuỗi không?
Câu trả lời:
Đây là một số mã cho API BouncyCastle mới không còn được dùng nữa. Bạn sẽ cần cả bản phân phối bcmail và bcprov.
X509Certificate cert = ...;
X500Name x500name = new JcaX509CertificateHolder(cert).getSubject();
RDN cn = x500name.getRDNs(BCStyle.CN)[0];
return IETFUtils.valueToString(cn.getFirst().getValue());
IETFUtils.valueToStringkhông xuất hiện để tạo ra một kết quả chính xác. Tôi có một CN bao gồm một số dấu bằng vì mã hóa cơ số 64 (ví dụ AAECAwQFBgcICQoLDA0ODw==:). Các valueToStringphương pháp thêm dấu gạch chéo lên tới kết quả. Thay vào đó, việc sử dụng toStringdường như đang hoạt động. Rất khó để xác định rằng đây thực sự là cách sử dụng đúng của api.
đây là một cách khác. ý tưởng là DN bạn nhận được ở định dạng rfc2253, giống như được sử dụng cho LDAP DN. Vậy tại sao không sử dụng lại API LDAP?
import javax.naming.ldap.LdapName;
import javax.naming.ldap.Rdn;
String dn = x509cert.getSubjectX500Principal().getName();
LdapName ldapDN = new LdapName(dn);
for(Rdn rdn: ldapDN.getRdns()) {
System.out.println(rdn.getType() + " -> " + rdn.getValue());
}
String commonName = new LdapName(certificate.getSubjectX500Principal().getName()).getRdns().stream() .filter(i -> i.getType().equalsIgnoreCase("CN")).findFirst().get().getValue().toString();
CN(aka 2.5.4.3) Rdn#getValue()chứa a String. Tuy nhiên, đối với các loại tùy chỉnh, kết quả là byte[](có thể dựa trên biểu diễn được mã hóa bên trong bắt đầu bằng #). Ofc, byte[]-> Stringlà có thể, nhưng chứa các ký tự bổ sung (không thể đoán trước). Tôi đã giải quyết vấn đề này bằng các giải pháp @laz dựa trên BC, vì nó xử lý và giải mã điều này một cách chính xác trong String.
Nếu việc thêm các phần phụ thuộc không phải là vấn đề, bạn có thể thực hiện việc này với API của Bouncy Castle để làm việc với các chứng chỉ X.509:
import org.bouncycastle.asn1.x509.X509Name;
import org.bouncycastle.jce.PrincipalUtil;
import org.bouncycastle.jce.X509Principal;
...
final X509Principal principal = PrincipalUtil.getSubjectX509Principal(cert);
final Vector<?> values = principal.getValues(X509Name.CN);
final String cn = (String) values.get(0);
Cập nhật
Tại thời điểm đăng bài này, đây là cách để làm điều này. Tuy nhiên, như gtrak đã đề cập trong các nhận xét, phương pháp này hiện không được dùng nữa. Xem mã cập nhật của gtrak sử dụng API Bouncy Castle mới.
Để thay thế cho mã của gtrak không cần '' bcmail '':
X509Certificate cert = ...;
X500Principal principal = cert.getSubjectX500Principal();
X500Name x500name = new X500Name( principal.getName() );
RDN cn = x500name.getRDNs(BCStyle.CN)[0]);
return IETFUtils.valueToString(cn.getFirst().getValue());
@Jakub: Tôi đã sử dụng giải pháp của bạn cho đến khi SW của tôi phải chạy trên Android. Và Android không triển khai javax.naming.ldap :-(
X500Name x500Name = new X500Name(cert.getSubjectX500Principal().getName()); String cn = x500Name.getCommonName();(sử dụng java 8)
IETFUtils.valueToStringtrả về giá trị trong thoát form. Tôi thấy chỉ đơn giản là kêu gọi .toString()thay vì làm việc cho tôi.
Một dòng với http://www.cryptacular.org
CertUtil.subjectCN(certificate);
Maven phụ thuộc:
<dependency>
<groupId>org.cryptacular</groupId>
<artifactId>cryptacular</artifactId>
<version>1.1.0</version>
</dependency>
Tất cả các câu trả lời được đăng cho đến nay đều có một số vấn đề: Hầu hết sử dụng X500Namephụ thuộc vào Lâu đài tiền thưởng bên trong hoặc bên ngoài. Phần sau được xây dựng dựa trên câu trả lời của @ Jakub và chỉ sử dụng API JDK công khai, nhưng cũng trích xuất CN theo yêu cầu của OP. Nó cũng sử dụng Java 8, mà bạn thực sự nên làm vào giữa năm 2017.
Stream.of(certificate)
.map(cert -> cert.getSubjectX500Principal().getName())
.flatMap(name -> {
try {
return new LdapName(name).getRdns().stream()
.filter(rdn -> rdn.getType().equalsIgnoreCase("cn"))
.map(rdn -> rdn.getValue().toString());
} catch (InvalidNameException e) {
log.warn("Failed to get certificate CN.", e);
return Stream.empty();
}
})
.collect(joining(", "))
Đây là cách thực hiện bằng cách sử dụng regex over cert.getSubjectX500Principal().getName(), trong trường hợp bạn không muốn phụ thuộc vào BouncyCastle.
Regex này sẽ phân tích cú pháp một tên phân biệt, cung cấp namevà valnhóm bắt cho mỗi trận đấu.
Khi chuỗi DN chứa dấu phẩy, chúng có nghĩa là được trích dẫn - regex này xử lý chính xác cả chuỗi được trích dẫn và bỏ dấu ngoặc kép, đồng thời xử lý các dấu ngoặc kép trong chuỗi được trích dẫn:
(?:^|,\s?)(?:(?<name>[A-Z]+)=(?<val>"(?:[^"]|"")+"|[^,]+))+
Đây là định dạng độc đáo:
(?:^|,\s?)
(?:
(?<name>[A-Z]+)=
(?<val>"(?:[^"]|"")+"|[^,]+)
)+
Đây là liên kết để bạn có thể thấy nó hoạt động: https://regex101.com/r/zfZX3f/2
Nếu bạn muốn regex chỉ có CN, thì phiên bản điều chỉnh này sẽ làm được điều đó:
(?:^|,\s?)(?:CN=(?<val>"(?:[^"]|"")+"|[^,]+))
Tôi có BouncyCastle 1.49 và lớp nó có bây giờ là org.bouncycastle.asn1.x509.Certificate. Tôi đã xem xét mã của IETFUtils.valueToString()- nó đang thực hiện một số thoát lạ mắt với dấu gạch chéo ngược. Đối với một tên miền, nó sẽ không làm bất cứ điều gì xấu, nhưng tôi cảm thấy chúng tôi có thể làm tốt hơn. Trong các trường hợp tôi đã xem xét cn.getFirst().getValue()trả về các loại chuỗi khác nhau mà tất cả đều triển khai giao diện ASN1String, giao diện này cung cấp phương thức getString (). Vì vậy, những gì có vẻ hiệu quả với tôi là
Certificate c = ...;
RDN cn = c.getSubject().getRDNs(BCStyle.CN)[0];
return ((ASN1String)cn.getFirst().getValue()).getString();
CẬP NHẬT: Lớp này nằm trong gói "sun" và bạn nên sử dụng nó một cách thận trọng. Cảm ơn Emil đã nhận xét :)
Chỉ muốn chia sẻ, để có được CN, tôi làm:
X500Name.asX500Name(cert.getSubjectX500Principal()).getCommonName();
Về nhận xét của Emil Lundberg, hãy xem: Tại sao các nhà phát triển không nên viết chương trình gọi là gói 'mặt trời'
X500Namelà một API độc quyền nội bộ có thể bị xóa trong các bản phát hành trong tương lai.
Thật vậy, nhờ gtraknó có vẻ như để lấy chứng chỉ máy khách và trích xuất CN, điều này rất có thể hoạt động.
X509Certificate[] certs = (X509Certificate[]) httpServletRequest
.getAttribute("javax.servlet.request.X509Certificate");
X509Certificate cert = certs[0];
X509CertificateHolder x509CertificateHolder = new X509CertificateHolder(cert.getEncoded());
X500Name x500Name = x509CertificateHolder.getSubject();
RDN[] rdns = x500Name.getRDNs(BCStyle.CN);
RDN rdn = rdns[0];
String name = IETFUtils.valueToString(rdn.getFirst().getValue());
return name;
Bạn có thể thử sử dụng getName (X500Principal.RFC2253, oidMap) hoặc getName(X500Principal.CANONICAL, oidMap)để xem định dạng chuỗi DN nào tốt nhất. Có thể một trong các oidMapgiá trị bản đồ sẽ là chuỗi bạn muốn.
Tìm nạp CN từ chứng chỉ không đơn giản. Đoạn mã dưới đây chắc chắn sẽ giúp ích cho bạn.
String certificateURL = "C://XYZ.cer"; //just pass location
CertificateFactory cf = CertificateFactory.getInstance("X.509");
X509Certificate testCertificate = (X509Certificate)cf.generateCertificate(new FileInputStream(certificateURL));
String certificateName = X500Name.asX500Name((new X509CertImpl(testCertificate.getEncoded()).getSubjectX500Principal())).getCommonName();
Một cách nữa để làm với Java thuần túy:
public static String getCommonName(X509Certificate certificate) {
String name = certificate.getSubjectX500Principal().getName();
int start = name.indexOf("CN=");
int end = name.indexOf(",", start);
if (end == -1) {
end = name.length();
}
return name.substring(start + 3, end);
}
Biểu thức regex, khá tốn kém để sử dụng. Đối với một nhiệm vụ đơn giản như vậy, nó có thể sẽ là một giết quá nhiều. Thay vào đó, bạn có thể sử dụng phân tách chuỗi đơn giản:
String dn = ((X509Certificate) certificate).getIssuerDN().getName();
String CN = getValByAttributeTypeFromIssuerDN(dn,"CN=");
private String getValByAttributeTypeFromIssuerDN(String dn, String attributeType)
{
String[] dnSplits = dn.split(",");
for (String dnSplit : dnSplits)
{
if (dnSplit.contains(attributeType))
{
String[] cnSplits = dnSplit.trim().split("=");
if(cnSplits[1]!= null)
{
return cnSplits[1].trim();
}
}
}
return "";
}
\,hoặc giá trị được trích dẫn.
X500Name là triển khai nội bộ của JDK, tuy nhiên bạn có thể sử dụng phản chiếu.
public String getCN(String formatedDN) throws Exception{
Class<?> x500NameClzz = Class.forName("sun.security.x509.X500Name");
Constructor<?> constructor = x500NameClzz.getConstructor(String.class);
Object x500NameInst = constructor.newInstance(formatedDN);
Method method = x500NameClzz.getMethod("getCommonName", null);
return (String)method.invoke(x500NameInst, null);
}
BC đã làm cho việc khai thác dễ dàng hơn nhiều:
X500Principal principal = x509Certificate.getSubjectX500Principal();
X500Name x500name = new X500Name(principal.getName());
String cn = x500name.getCommonName();
sun.security.x509.X500Name- mà như các câu trả lời khác đã lưu ý vài năm trước đó là không có tài liệu và không thể dựa vào?
org.bouncycastle.asn1.x500.X500Name, lớp này không hiển thị phương thức đó…
Đối với các thuộc tính đa giá trị - sử dụng LDAP API ...
X509Certificate testCertificate = ....
X500Principal principal = testCertificate.getSubjectX500Principal(); // return subject DN
String dn = null;
if (principal != null)
{
String value = principal.getName(); // return String representation of DN in RFC 2253
if (value != null && value.length() > 0)
{
dn = value;
}
}
if (dn != null)
{
LdapName ldapDN = new LdapName(dn);
for (Rdn rdn : ldapDN.getRdns())
{
Attributes attributes = rdn != null
? rdn.toAttributes()
: null;
Attribute attribute = attributes != null
? attributes.get("CN")
: null;
if (attribute != null)
{
NamingEnumeration<?> values = attribute.getAll();
while (values != null && values.hasMoreElements())
{
Object o = values.next();
if (o != null && o instanceof String)
{
String cnValue = (String) o;
}
}
}
}
}