X.509证书详解

1. X.509证书基础

1.1 什么是X.509证书

X.509证书是一种数字证书标准，广泛用于公钥基础设施(PKI)系统中。它用于安全地将公钥与实体（如个人、服务器或组织）绑定在一起。X.509证书由可信的第三方（证书颁发机构，CA）签名，以确保证书中公钥确实属于声称拥有它的实体。

X.509证书在许多安全协议中起着核心作用，例如：

• HTTPS网站加密
• 代码签名验证
• 电子邮件加密(S/MIME)
• VPN连接认证
• 智能卡认证

1.2 X.509证书结构

X.509证书包含多个字段，提供关于证书持有者、颁发者以及证书有效性的信息：

• 版本号(Version)：证书的X.509版本（通常为v3）
• 序列号(Serial Number)：CA分配的唯一标识符
• 签名算法(Signature Algorithm)：用于签署证书的算法（如SHA-256 with RSA）
• 颁发者(Issuer)：颁发证书的CA身份
• 有效期(Validity Period)：证书的生效和过期日期
• 主体(Subject)：证书持有者的身份
• 公钥信息(Subject Public Key Info)：
  • 公钥算法（如RSA、ECDSA）
  • 公钥本身
• 扩展(Extensions)：额外的证书属性（仅在v3证书中）：
  • 密钥用途(Key Usage)
  • 增强型密钥用途(Extended Key Usage)
  • 主体别名(Subject Alternative Name)
  • 基本约束(Basic Constraints)
  • 证书策略(Certificate Policies)
  • CRL分发点(CRL Distribution Points)

1.3 证书编码格式

X.509证书可以以多种格式编码和存储：

• DER (Distinguished Encoding Rules)：二进制格式，常见扩展名为.der、.cer
• PEM (Privacy Enhanced Mail)：Base64编码的DER证书，用-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----包围，常见扩展名为.pem、.crt、.cer
• PKCS#7/P7B：可包含证书链，常见扩展名为.p7b、.p7c
• PKCS#12/PFX：可同时存储私钥和相应的证书，通常受密码保护，常见扩展名为.p12、.pfx

2. Java中的X509Certificate

2.1 类层次结构

在Java中，X.509证书由java.security.cert.X509Certificate类表示。这是一个抽象类，通常由特定的安全提供商实现。

类层次结构：

java.lang.Object
  └── java.security.cert.Certificate
        └── java.security.cert.X509Certificate

主要相关类：

• CertificateFactory：用于生成证书对象
• KeyStore：用于管理密钥和证书
• TrustManager：用于证书验证决策
• CertPathValidator：用于验证证书路径

2.2 核心方法

X509Certificate类提供了多种方法来访问证书的各个属性：

// 获取版本号
int getVersion()

// 获取序列号
BigInteger getSerialNumber()

// 获取颁发者
Principal getIssuerDN()
// X500Principal getIssuerX500Principal() // JDK 1.4+

// 获取主体
Principal getSubjectDN()
// X500Principal getSubjectX500Principal() // JDK 1.4+

// 获取有效期
Date getNotBefore()
Date getNotAfter()

// 获取签名算法
String getSigAlgName()
String getSigAlgOID()

// 获取公钥
PublicKey getPublicKey()

// 检查特定用途
boolean[] getKeyUsage()

// 获取扩展值
byte[] getExtensionValue(String oid)

// 验证证书的签名
void verify(PublicKey key)

3. 获取X509Certificate对象

3.1 从文件加载证书

从文件加载X.509证书的常见方法：

import java.io.FileInputStream;
import java.security.cert.CertificateFactory;
import java.security.cert.X509Certificate;

public class LoadCertificateFromFile {
   
    public static X509Certificate loadCertificate(String filePath) throws Exception {
   
        try (FileInputStream fis = new FileInputStream(filePath)) {
   
            CertificateFactory cf = CertificateFactory.getInstance("X.509");
            return (X509Certificate) cf.generateCertificate(fis);
        }
    }
    
    public static void main(String[] args) {
   
        try {
   
            X509Certificate cert = loadCertificate("certificate.crt");
            System.out.println("证书主体: " + cert.getSubjectX500Principal().getName());
            System.out.println("证书颁发者: " + cert.getIssuerX500Principal().getName());
            System.out.println("证书有效期自: " + cert.getNotBefore());
            System.out.println("证书有效期至: " + cert.getNotAfter());
        } catch (Exception e) {
   
            e.printStackTrace();
        }
    }
}

3.2 从KeyStore获取证书

从Java KeyStore文件加载证书：

import java.io.FileInputStream;
import java.security.KeyStore;
import java.security.cert.X509Certificate;

public class LoadCertificateFromKeyStore {
   
    public static X509Certificate getCertificateFromKeyStore(
            String keystorePath, String keystorePassword, String alias) throws Exception {
   
        
        KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType());
        try (FileInputStream fis = new FileInputStream(keystorePath)) {
   
            keystore.load(fis, keystorePassword.toCharArray());
            return (X509Certificate) keystore.getCertificate(alias);
        }
    }
    
    public static void main(String[] args) {
   
        try {
   
            X509Certificate cert = getCertificateFromKeyStore(
                "keystore.jks", "password", "mycert");
            System.out.println("成功从KeyStore加载证书");
            System.out.println("主体: " + cert.getSubjectX500Principal().getName());
        } catch (Exception e) {
   
            e.printStackTrace();
        }
    }
}

3.3 从HTTPS连接获取证书

从HTTPS连接获取服务器证书：

import javax.net.ssl.HttpsURLConnection;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLPeerUnverifiedException;
import java.io.IOException;
import java.net.URL;
import java.security.cert.Certificate;
import java.security.cert.X509Certificate;

public class GetCertificateFromHttps {
   
    public static X509Certificate[] getServerCertificates(String httpsUrl) throws IOException {
   
        URL url = new