10

我正在尝试验证证书的公钥。已使用以下命令将证书导入密钥库:

keytool -importcert -file cert.cer -keystore kstore.jks -alias mycert -storepass changeit

这是我用来验证公钥的 java 代码:

File keyStore = new File("kstore.jks");
String keyStorePassword = "changeit";
KeyStore ks = null;
try {
   ks = KeyStore.getInstance("jks");
   ks.load(keyStore.toURI().toURL().openStream(), keyStorePassword.toCharArray());
} catch (Exception e) {
   e.printStackTrace();
} 

try {
   Certificate cert = ks.getCertificate("mycert");
   PublicKey pk = cert.getPublicKey();
   cert.verify(pk);
   //cert.verify(pk, "SunRsaSign");
   System.out.println("Keys verified");
} catch (Exception e) {
   e.printStackTrace();
}

我得到的例外是:

java.security.SignatureException: Signature does not match.
   at sun.security.x509.X509CertImpl.verify(X509CertImpl.java:446)
   at sun.security.x509.X509CertImpl.verify(X509CertImpl.java:389)
   at VerifyEBXMLSignature.runIt3(VerifyEBXMLSignature.java:62)
   at VerifyEBXMLSignature.main(VerifyEBXMLSignature.java:41)

证书包含公钥,我无权访问私钥。是否可以根据我导入密钥库的证书验证公钥?公钥来自证书本身,所以它应该是正确的。

我还应该通过证书寻找什么?

我刚刚获得了有关证书的更多信息:它是从私钥导出的。在这个过程中是否有任何可能做错的事情?

4

2 回答 2

10

您不应该传递从证书中提取的公钥。您应该传递颁发者证书的公钥来验证签名。

因此,正如罗伯特在评论中指出的那样,您的上述代码仅在它是自签名证书(证书由自身签名)时才有效。

于 2012-08-28T14:40:45.677 回答
-2

公钥验证方法内部使用X509证书实现。

所以它只能验证那些按照X509标准生成的证书。

欲了解更多信息,请访问http://en.wikipedia.org/wiki/X.509

于 2012-08-28T15:05:29.767 回答