我使用带有客户端身份验证的 tomcat http 连接器。如果客户端启动到我的服务器的新连接并发送他的证书,我可以获取证书并从我的 java 代码中的传入证书中读取公用名。如果是,如何?
谢谢阿迪
问问题
12970 次
2 回答
23
javax.servlet.request.X509Certificate您可以通过获取HttpServletRequest. 这是一个X509Certificates数组,其中第一个(位置 0)是实际的客户端证书(如果需要中间 CA 证书,则链的其余部分可能存在)。
X509Certificate certs[] =
(X509Certificate[])req.getAttribute("javax.servlet.request.X509Certificate");
// ... Test if non-null, non-empty.
X509Certificate clientCert = certs[0];
// Get the Subject DN's X500Principal
X500Principal subjectDN = clientCert.getSubjectX500Principal();
然后,您可以在此主体(例如 CN)中获取各种 RDN(相对专有名称),如本答案中所述:
import javax.naming.ldap.LdapName;
import javax.naming.ldap.Rdn;
String dn = subjectDN.getName();
LdapName ldapDN = new LdapName(dn);
for(Rdn rdn: ldapDN.getRdns()) {
System.out.println(rdn.getType() + " -> " + rdn.getValue());
}
(您也可以使用 BouncyCastleX509Name获取每个 RDN。)
在 X.509 证书中,Subject DN 是 RDN 的有序序列,每个 RDN 都是一组 AVA(属性值断言),例如CN=...或O=...。原则上,每个 RDN 可以有多个 AVA,这会在这里引起问题,但这种情况非常罕见。您几乎可以假设每个 RDN 只有一个 AVA。(也许这个答案可能很有趣。)
于 2012-08-14T11:37:46.460 回答
1
归功于 mazaneicha:
String cipherSuite = (String) req.getAttribute("javax.servlet.request.cipher_suite");
if (cipherSuite != null) {
X509Certificate certChain[] = (X509Certificate[]) req.getAttribute("javax.servlet.request.X509Certificate");
if (certChain != null) {
for (int i = 0; i < certChaNin.length; i++) {
System.out.println ("Client Certificate [" + i + "] = "
+ certChain[i].toString());
}
}
}
于 2012-08-14T06:53:15.030 回答