java-信息安全(十七)-*.PFX(*.p12)&个人信息交换文件
2017-03-17 14:13
393 查看
原文地址
http://snowolf.iteye.com/blog/735294
与计费系统打交道,少不了用到加密/解密实现。为了安全起见,通过非对称加密交换对称加密密钥更是不可或缺。那么需要通过什么载体传递非对称算法公钥/私钥信息?数字证书是公钥的载体,而密钥库可以包含公钥、私钥信息。
JKS和PKCS#12都是比较常用的两种密钥库格式/标准。对于前者,搞Java开发,尤其是接触过HTTPS平台的朋友,并不陌生。JKS文件(通常为*.jks或*.keystore,扩展名无关)可以通过Java原生工具——KeyTool生成;而后者PKCS#12文件(通常为*.p12或*.pfx,意味个人信息交换文件),则是通过更为常用的OpenSSL工具产生。
当然,这两者之间是可以通过导入/导出的方式进行转换的!当然,这种转换需要通过KeyTool工具进行!
回归正题,计费同事遇到一个难题:合作方交给他们一个*.pfx文件,需要他们从中提取密钥,然后进行加密交互。其实,通过Java直接操作密钥库文件(或个人信息交换文件)对于一般Java开发人员来说,这都是个冷门。不接触数字安全,根本不知所云。况且,Java原生的密钥库文件格式为JKS,如何操作*.pfx文件?密钥库操作需要获知密钥库别名,*.pfx别名是什么?!接下来就解决这些问题!
方案:
通过keytool密钥库导入命令importkeystore,将密钥库格式由PKCS#12转换为JKS。
检索新生成的密钥库文件,提取别名信息。
由密钥库文件导出数字证书(这里将用到别名)。
通过代码提取公钥/私钥、签名算法等
先看格式转换:
cmd:
-importkeystore导入密钥库,通过格式设定,我们可以将PKCS#12文件转换为JKS格式。
-v显示详情
-srckeystore源密钥库,这里是zlex.pfx
-srcstoretype源密钥库格式,这里为pkcs12
-srcstorepass源密钥库密码,这里为123456
-destkeystore目标密钥库,这里为zlex.keystore
-deststoretype目标密钥库格式,这里为jks,默认值也如此
-deststorepass目标密钥库密码,这里为123456
通过这个操作,我们能够获得所需的密钥库文件zlex.keystore。
View Code
第一个测试方法,用于提取公钥/私钥进行加密/解密操作。
第二个测试方法,用于提取签名算法进行签名/验证操作。
第三个测试方法,用于测试密钥库该别名对应的证书,当前日期下,是否有效。
OK,任务完成,密钥成功提取,剩下的都是代码基本功了!
http://snowolf.iteye.com/blog/735294
与计费系统打交道,少不了用到加密/解密实现。为了安全起见,通过非对称加密交换对称加密密钥更是不可或缺。那么需要通过什么载体传递非对称算法公钥/私钥信息?数字证书是公钥的载体,而密钥库可以包含公钥、私钥信息。
JKS和PKCS#12都是比较常用的两种密钥库格式/标准。对于前者,搞Java开发,尤其是接触过HTTPS平台的朋友,并不陌生。JKS文件(通常为*.jks或*.keystore,扩展名无关)可以通过Java原生工具——KeyTool生成;而后者PKCS#12文件(通常为*.p12或*.pfx,意味个人信息交换文件),则是通过更为常用的OpenSSL工具产生。
当然,这两者之间是可以通过导入/导出的方式进行转换的!当然,这种转换需要通过KeyTool工具进行!
回归正题,计费同事遇到一个难题:合作方交给他们一个*.pfx文件,需要他们从中提取密钥,然后进行加密交互。其实,通过Java直接操作密钥库文件(或个人信息交换文件)对于一般Java开发人员来说,这都是个冷门。不接触数字安全,根本不知所云。况且,Java原生的密钥库文件格式为JKS,如何操作*.pfx文件?密钥库操作需要获知密钥库别名,*.pfx别名是什么?!接下来就解决这些问题!
方案:
通过keytool密钥库导入命令importkeystore,将密钥库格式由PKCS#12转换为JKS。
检索新生成的密钥库文件,提取别名信息。
由密钥库文件导出数字证书(这里将用到别名)。
通过代码提取公钥/私钥、签名算法等
先看格式转换:
cmd:
echo 格式转换 keytool -importkeystore -v -srckeystore zlex.pfx -srcstoretype pkcs12 -srcstorepass 123456 -destkeystore zlex.keystore -deststoretype jks -deststorepass 123456
-importkeystore导入密钥库,通过格式设定,我们可以将PKCS#12文件转换为JKS格式。
-v显示详情
-srckeystore源密钥库,这里是zlex.pfx
-srcstoretype源密钥库格式,这里为pkcs12
-srcstorepass源密钥库密码,这里为123456
-destkeystore目标密钥库,这里为zlex.keystore
-deststoretype目标密钥库格式,这里为jks,默认值也如此
-deststorepass目标密钥库密码,这里为123456
通过这个操作,我们能够获得所需的密钥库文件zlex.keystore。
import static org.junit.Assert.*; import java.util.Date; import org.apache.commons.codec.binary.Hex; import org.junit.Test; /** * 证书操作验证类 * * @author <a href="mailto:zlex.dongliang@gmail.com">梁栋</a> * @version 1.0 * @since 1.0 */ public class CertificateCoderTest { private String certificatePath = "zlex.crt"; private String keyStorePath = "zlex.keystore"; private String keyStorePassword = "123456"; private String aliasPassword = "123456"; private String alias = "1"; @Test public void test() throws Exception { System.err.println("公钥加密——私钥解密"); String inputStr = "Ceritifcate"; byte[] data = inputStr.getBytes(); byte[] encrypt = CertificateCoder.encryptByPublicKey(data, certificatePath); byte[] decrypt = CertificateCoder.decryptByPrivateKey(encrypt, keyStorePath, alias, keyStorePassword, aliasPassword); String outputStr = new String(decrypt); System.err.println("加密前: " + inputStr + "\n\r" + "解密后: " + outputStr); // 验证数据一致 assertArrayEquals(data, decrypt); // 验证证书有效 assertTrue(CertificateCoder.verifyCertificate(certificatePath)); } @Test public void testSign() throws Exception { System.err.println("私钥加密——公钥解密"); String inputStr = "sign"; byte[] data = inputStr.getBytes(); byte[] encodedData = CertificateCoder.encryptByPrivateKey(data, keyStorePath, keyStorePassword, alias, aliasPassword); byte[] decodedData = CertificateCoder.decryptByPublicKey(encodedData, certificatePath); String outputStr = new String(decodedData); System.err.println("加密前: " + inputStr + "\n\r" + "解密后: " + outputStr); assertEquals(inputStr, outputStr); System.err.println("私钥签名——公钥验证签名"); // 产生签名 byte[] sign = CertificateCoder.sign(encodedData, keyStorePath, alias, keyStorePassword, aliasPassword); System.err.println("签名:\r" + Hex.encodeHexString(sign)); // 验证签名 boolean status = CertificateCoder.verify(encodedData, sign, certificatePath); System.err.println("状态:\r" + status); assertTrue(status); } @Test public void testVerify() throws Exception { System.err.println("密钥库证书有效期验证"); boolean status = CertificateCoder.verifyCertificate(new Date(), keyStorePath, keyStorePassword, alias); System.err.println("证书状态:\r" + status); assertTrue(status); } }
View Code
第一个测试方法,用于提取公钥/私钥进行加密/解密操作。
第二个测试方法,用于提取签名算法进行签名/验证操作。
第三个测试方法,用于测试密钥库该别名对应的证书,当前日期下,是否有效。
OK,任务完成,密钥成功提取,剩下的都是代码基本功了!
相关文章推荐
- java-信息安全(十七)-*.PFX(*.p12)&个人信息交换文件
- Java加密技术(十二)——*.PFX(*.p12)&个人信息交换文件
- Java加密技术(十二)——*.PFX(*.p12)&个人信息交换文件
- Java加密技术(十二)——*.PFX(*.p12)&个人信息交换文件
- 从 http://snowolf.iteye.com/blog/735294 收藏 Java加密技术(十二)——*.PFX(*.p12)&个人信息交换文件
- Java加密技术(十二)——*.PFX(*.p12)&个人信息交换文件
- Java加密技术(十二)——*.PFX(*.p12)&个人信息交换文件
- Java加密技术(十二)——*.PFX(*.p12)&个人信息交换文件
- Java加密技术(十二)——*.PFX(*.p12)&个人信息交换文件
- Java加密技术(十二)——*.PFX(*.p12)&个人信息交换文件
- Java加密技术(十二)——*.PFX(*.p12)&个人信息交换文件
- Java加密算法(十二)——*.PFX(*.p12)&个人信息交换文件
- Java加密技术(十二)——*.PFX(*.p12)&个人信息交换文件
- Java加密技术(十二)——*.PFX(*.p12)&个人信息交换文件
- java读取pfx或P12格式的个人交换库公私钥
- 央视曝光的iphone定位 可以收集用户的个人信息的那个新闻里,中国信息安全测评工程师用的是什么软件打开了普通用户看不了了的存储用户位置信息的文件
- java-信息安全(八)-迪菲-赫尔曼(DH)密钥交换
- JAVA从一个.p12或.pfx文件中获取公钥和私钥
- java-信息安全(八)-迪菲-赫尔曼(DH)密钥交换
- java安全架构____读取keystore文件的密钥对和证书信息