嗨伙计们!我正在尝试使用 bouncycastle 创建 x.509 证书,该证书应由另一个证书签名并将其存储为 PEM base 64 格式。
我已经有自签名证书(公钥和私钥)。现在我想创建一个新的并使用现有的自签名证书对其进行签名。
KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA", "BC");
keyPairGenerator.initialize(1024, new SecureRandom());
KeyPair keyPair = keyPairGenerator.generateKeyPair();
X509V3CertificateGenerator certGen = new X509V3CertificateGenerator();
X500Principal dnName = new X500Principal("CN=Sergey");
certGen.setSerialNumber(BigInteger.valueOf(System.currentTimeMillis()));
certGen.setSubjectDN(dnName);
certGen.setIssuerDN(caCert.getSubjectX500Principal());
certGen.setNotBefore(validityBeginDate);
certGen.setNotAfter(validityEndDate);
certGen.setPublicKey(keyPair.getPublic());
certGen.setSignatureAlgorithm("SHA256WithRSAEncryption");
certGen.addExtension(X509Extensions.AuthorityKeyIdentifier, false, new AuthorityKeyIdentifierStructure(caCert));
certGen.addExtension(X509Extensions.SubjectKeyIdentifier, false, new SubjectKeyIdentifierStructure(keyPair.getPublic()));
X509Certificate cert = certGen.generate(caCertPrivateKey, "BC");
验证无一例外地通过,这意味着从我的角度来看,它已被 caCert 成功签名:
cert.verify(caCert.getPublicKey());
然后我将其解码为 PEM base 64:
PEMWriter pemWriter = new PEMWriter(new PrintWriter(System.out));
pemWriter.writeObject(cert);
pemWriter.flush();
我在输出中得到类似的东西:
-----开始证书-----
MIIDDjCCAnegAwIBAgIBFDAN........
-----结束证书-----
当我打开它时,我看到了下一个:
caCert签名成功为什么没有认证链?
需要在我的代码中进行哪些更改才能按预期查看认证链?