Comment récupérer/calculer une empreinte numérique du certificat X509 en Java?

J'ai un client java qui est de l'appel d'une opération de service web qui prend un certificat "empreinte" comme paramètre. Je crois que l'empreinte est une sorte de hachage SHA1, en hexadécimal chaîne de format, de le cert de la clé publique, mais je ne suis pas sûr.

L' .NET framework semble inclure un moyen simple d'obtenir cette valeur (X509Certificate2.Empreinte numérique de la propriété). La visualisation d'un .cer propriétés du fichier dans Windows affiche également l'empreinte, ce qui ressemble à:

a6 9c fd b0 58 0d a4 ee ae 9a 47 75 24 c3 0b 9f 5d b6 1c 77

Ma question est donc: Est-ce que quelqu'un sait comment faire pour le récupérer ou de le calculer cette empreinte numérique de chaîne à l'intérieur de Java, si j'ai une instance d'un java.de sécurité.cert.X509Certificate?

InformationsquelleAutor Matt Z | 2009-08-13
  1. 71

    Le hachage SHA-1 de la DER encodage du certificat est ce .NET est arriver avec X509Certificate2.Empreinte.

    Comme indiqué sur la remarques sur MSDN:

    L'empreinte numérique est généré dynamiquement à l'aide de l'algorithme SHA1 et n'existe pas physiquement dans le certificat. Depuis l'empreinte est une valeur unique pour le certificat, il est couramment utilisé pour trouver un certificat en particulier dans un magasin de certificats.

    Java de la bibliothèque standard ne fournit pas l'empreinte directement, mais vous pouvez l'obtenir comme ceci:

    DatatypeConverter.printHexBinary(
        MessageDigest.getInstance("SHA-1").digest(
                cert.getEncoded())).toLowerCase();

    Voici un plein travaillé par exemple à l'aide d'un commodément accessible fichier PEM:

    1. Créer stackoverflow.crt.pem:

      -----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

    2. Créer X509.java:

      import javax.xml.bind.DatatypeConverter;
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.security.cert.CertificateEncodingException;
import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;
import java.security.cert.X509Certificate;

public final class X509 {
    public static void main(String[] args)
            throws FileNotFoundException, CertificateException, NoSuchAlgorithmException {
        FileInputStream is = new FileInputStream(args[0]);
        CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
        X509Certificate cert = (X509Certificate) certificateFactory.generateCertificate(is);
        String thumbprint = getThumbprint(cert);
        System.out.println(thumbprint);
    }

    private static String getThumbprint(X509Certificate cert)
            throws NoSuchAlgorithmException, CertificateEncodingException {
        MessageDigest md = MessageDigest.getInstance("SHA-1");
        byte[] der = cert.getEncoded();
        md.update(der);
        byte[] digest = md.digest();
        String digestHex = DatatypeConverter.printHexBinary(digest);
        return digestHex.toLowerCase();
    }
}

    3. Compiler le programme avec Java 8:

      javac X509.java

      Ou Java 9 - en raison de JDK modulaire/JPMS - DataTypeConverter n'est pas dans java.la base de, mais java.xml.lier, vous devez donc vous en dépendent explicitement lors de votre build:

      javac --add-modules java.xml.bind X509.java

      Sinon, sur l'île de Java 9, vous obtenez lorsque vous essayez de construire:

      X509.java:3: error: package javax.xml.bind is not visible
        import javax.xml.bind.DatatypeConverter;
        ^
        (package javax.xml.bind is declared in module java.xml.bind, which is not in the module graph)
        1 error

    4. L'exécuter avec Java 8:

      java X509 stackoverflow.crt.pem

      En Java 9 - en raison de JDK modulaire/JPMS - DataTypeConverter n'est pas dans java.la base de, mais java.xml.lier, de sorte que vous devez explicitement dépendent d'elle lors de l'exécution de votre programme:

      java --add-modules java.xml.bind X509 stackoverflow.crt.pem

      Sinon, sur l'île de Java 9, vous obtenez lorsque vous essayez de l'exécuter:

      Exception in thread "main" java.lang.NoClassDefFoundError: javax/xml/bind/DatatypeConverter
    at X509.getThumbPrint(X509.java:29)
    at X509.main(X509.java:19)
    Caused by: java.lang.ClassNotFoundException: javax.xml.bind.DatatypeConverter
    at java.base/jdk.internal.loader.BuiltinClassLoader.loadClass(BuiltinClassLoader.java:582)
    at java.base/jdk.internal.loader.ClassLoaders$AppClassLoader.loadClass(ClassLoaders.java:185)
    at java.base/java.lang.ClassLoader.loadClass(ClassLoader.java:496)
    ... 2 more

    5. Obtenir le résultat attendu:

      47adb03649a2eb18f63ffa29790818349a99cab7
    • Merci pour la réponse! Une recherche sur google, j'ai trouvé que l'empreinte est couramment utilisé comme identifiant unique pour un certificat, donc il ne semble pas l'être .NET spécifiques. Le service web j'appelle est de l'utiliser pour trouver le certificat à leur magasin.
    • Le service web doit être une .NET server. Je n'ai pas vu tous les autres serveurs à l'aide de l'empreinte numérique pour stocker client cert. .NET fait tellement liées à la sécurité des extensions, vous risquez de rencontrer d'autres questions également. À moins que votre client a besoin d'être multi-plateforme, il serait beaucoup plus facile à écrire client .NET aussi.
    • Les empreintes digitales ne sont pas .Net exclusive. Avez-vous essayé de le connecter à un serveur en utilisant SSH que vous n'avez pas connecté avant? Vous verrez de son empreinte. Le magasin de certificats auront pouces répertoriés, trop.
    • "Pourquoi avez-vous besoin de Java?" - Il est probablement à la base du certificat. Il est beaucoup plus sûr que de faire confiance à l'une des centaines de CA et les autorités de certification et DNS.
    InformationsquelleAutor ZZ Coder
  2. 41

    À l'aide d'Apache Commons Codec que vous pouvez faire:

    DigestUtils.sha1Hex(cert.getEncoded())
    • nice one-liner!
    InformationsquelleAutor Martin Ždila
  3. 3

    Vous pouvez générer l'empreinte à l'aide de la commande openssl, de sorte exemple, si vous avez le format pem du certificat dans un fichier (file.txt)

    alors:

    cat file.txt | openssl x509 -sha1 -fingerprint - ce serait de générer la même empreinte

    • Comment cela vous aide avec Java?
    InformationsquelleAutor Clarence
  4. 3

    One-liner à l'aide de Google Goyave

    String sha256AsHex = Hashing.sha256().hashBytes(x509Certificate.getEncoded()).toString();
    • Pour l'intégralité - communément SHA-1 (Hashing.sha1()) est utilisé comme empreinte (comme on le voit dans les autres réponses).
    InformationsquelleAutor Ahmad Abdelghany
  5. -9

    Ici est une façon plus simple:

    using System.Security.Cryptography.X509Certificates;    

X509Certificate2 xcert = new X509Certificate2("C:\some_cert.cerpub");
string certSubject = xcert.Subject;
string certThumbprint =  xcert.Thumbprint;
    • Ce n'est pas Java 🙂 je sais que c'est facile à obtenir dans .NET
    InformationsquelleAutor jay.tech66