Comment obtenir le certificat de serveur de la chaîne, puis de vérifier sa validité et de confiance en Java

J'ai besoin de créer une connexion Https avec un serveur distant puis récupérer et vérifier le certificat.

J'ai établi la connexion amende:

try {  
    url = new URL(this.SERVER_URL);  
    HttpURLConnection con = (HttpURLConnection) url.openConnection();   
    HttpsURLConnection secured = (HttpsURLConnection) con;  
    secured.connect(); 
}

Mais il semble getServerCertificateChain() méthode n'est pas définie par le type de HttpsURLConnection.

Alors, comment puis-je récupérer la chaîne de certificats de serveur? Ma compréhension est que getServerCertificateChain() doit retourner un tableau de X509Certificate objets et que cette classe possède des méthodes que je peux utiliser pour interroger le certificat.

J'ai besoin de vérifier que:

  1. le certificat est valide et fiable,
  2. vérifier la Liste de Révocation de Certificats Point de Distribution contre le numéro de série du certificat
  3. assurez-vous qu'il n'est pas expiré et
  4. vérifier que l'URL du certificat correspond à une autre (dont j'ai déjà récupéré ).

Je suis perdu et serait vraiment reconnaissant de toute aide!

Êtes-vous sûr que Java est du https, client code n'est pas déjà le faire tous les quatre pour vous?
Avez-vous la solution pour cela ? Si le Certificat est de confiance ou pas ? Toute Solution pour que

OriginalL'auteur Marc H | 2011-08-26

  1. 24

    La méthode que vous voulez, c'est getServerCertificates, pas getServerCertificateChain. Il y a une belle exemple de code ici.

    MODIFIER

    Ajouté un exemple de code de mon propre. Bon point de départ pour vous. N'oubliez pas de regarder la Javadoc HttpsURLConnection et X509Certificate.

    import java.net.URL;
import java.security.cert.Certificate;
import java.security.cert.CertificateExpiredException;
import java.security.cert.X509Certificate;

import javax.net.ssl.HttpsURLConnection;

public class TestSecuredConnection {

    /**
     * @param args
     */
    public static void main(String[] args) {
        TestSecuredConnection tester = new TestSecuredConnection();
        try {
            tester.testConnectionTo("https://www.google.com");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    public TestSecuredConnection() {
        super();
    }

    public void testConnectionTo(String aURL) throws Exception {
        URL destinationURL = new URL(aURL);
        HttpsURLConnection conn = (HttpsURLConnection) destinationURL
                .openConnection();
        conn.connect();
        Certificate[] certs = conn.getServerCertificates();
        for (Certificate cert : certs) {
            System.out.println("Certificate is: " + cert);
            if(cert instanceof X509Certificate) {
                try {
                    ( (X509Certificate) cert).checkValidity();
                    System.out.println("Certificate is active for current date");
                } catch(CertificateExpiredException cee) {
                    System.out.println("Certificate is expired");
                }
            }
        }
    }
}
    Merci -- je suis le codage de spec dans une des grandes sociétés de manuel et je commençais à soupçonner que la personne qui a écrit cet article avait commis une erreur. Je suis un néophyte, mais quand il s'agit de java mise en réseau donc j'ai passé des heures à essayer de comprendre ce que l'enfer est la différence entre getServerCertificateChain et getServerCertificates.
    Comment puis-je interroger les certificats si selon quatre critères que j'ai énumérés ci-dessus?
    Vous devrez convertir les certificats de X509Certificates et utiliser les méthodes de cette classe.
    Comment puis-je récupérer l'url dans le certificat? Comment puis-je vérifier s'il est valide et digne de confiance et ne pas expiré? Je suis un réseautage néophyte et je suis la recherche de la plupart des ressources sur le net ne fait qu'ajouter à ma confusion.
    Attention: le code ci-dessus ne pas valider complètement la chaîne, il vérifie seulement si le certificat est dans sa période de validité.

    OriginalL'auteur Perception

  2. 2

    Rapide recherche sur google m'a amené à cet exemple à l'aide de BouncyCastle. Je pense qu'il est préférable répond à la question.
    http://www.nakov.com/blog/2009/12/01/x509-certificate-validation-in-java-build-and-verify-chain-and-verify-clr-with-bouncy-castle/

    le code n'est pas formaté correctement dans ce blog.. Voici le code source svn.apache.org/repos/asf/cxf/tags/cxf-2.4.1/distribution/src/...

    OriginalL'auteur Kirby

  3. 1

    Cet exemple de code mentionné par Kirby et arulraj.net a été retiré de Apache CXF en 2011 et n'a pas en charge le protocole OCSP. Le Apache PDFBox projet "ressuscité" ce code et a ajouté OCSP de soutien et plus de fonctionnalités qui manquaient dans le code d'origine, par exemple, liste de révocation de certificats de signature de la vérifier. Depuis la version 2.0.13 l'amélioration du code source est disponible dans les exemples de sous-projet, dans le CertificateVerifier classe. Il est également disponible en ligne avec de petites améliorations.

    Le code ne prétend pas être parfait, et n'a pas encore vérifier si la racine est digne de confiance. Le développement est suivi dans JIRA question PDFBOX-3017.

    OriginalL'auteur Tilman Hausherr