java-信息安全（十七）-*.PFX(*.p12)&个人信息交换文件

原文地址
http://snowolf.iteye.com/blog/735294
与计费系统打交道，少不了用到加密/解密实现。为了安全起见，通过非对称加密交换对称加密密钥更是不可或缺。那么需要通过什么载体传递非对称算法公钥/私钥信息？数字证书是公钥的载体，而密钥库可以包含公钥、私钥信息。
JKS和PKCS#12都是比较常用的两种密钥库格式/标准。对于前者，搞Java开发，尤其是接触过HTTPS平台的朋友，并不陌生。JKS文件（通常为*.jks或*.keystore，扩展名无关）可以通过Java原生工具——KeyTool生成；而后者PKCS#12文件（通常为*.p12或*.pfx，意味个人信息交换文件），则是通过更为常用的OpenSSL工具产生。
当然，这两者之间是可以通过导入/导出的方式进行转换的！当然，这种转换需要通过KeyTool工具进行！
回归正题，计费同事遇到一个难题：合作方交给他们一个*.pfx文件，需要他们从中提取密钥，然后进行加密交互。其实，通过Java直接操作密钥库文件（或个人信息交换文件）对于一般Java开发人员来说，这都是个冷门。不接触数字安全，根本不知所云。况且，Java原生的密钥库文件格式为JKS，如何操作*.pfx文件？密钥库操作需要获知密钥库别名，*.pfx别名是什么？！接下来就解决这些问题！
方案：

通过keytool密钥库导入命令importkeystore，将密钥库格式由PKCS#12转换为JKS。

检索新生成的密钥库文件，提取别名信息。

由密钥库文件导出数字证书（这里将用到别名）。

通过代码提取公钥/私钥、签名算法等

先看格式转换：

cmd：

echo 格式转换
keytool -importkeystore -v  -srckeystore zlex.pfx -srcstoretype pkcs12 -srcstorepass 123456 -destkeystore zlex.keystore -deststoretype jks -deststorepass 123456

-importkeystore导入密钥库，通过格式设定，我们可以将PKCS#12文件转换为JKS格式。
-v显示详情
-srckeystore源密钥库，这里是zlex.pfx
-srcstoretype源密钥库格式，这里为pkcs12
-srcstorepass源密钥库密码，这里为123456
-destkeystore目标密钥库，这里为zlex.keystore
-deststoretype目标密钥库格式，这里为jks，默认值也如此
-deststorepass目标密钥库密码，这里为123456
通过这个操作，我们能够获得所需的密钥库文件zlex.keystore。

import static org.junit.Assert.*;

import java.util.Date;

import org.apache.commons.codec.binary.Hex;
import org.junit.Test;

/**
* 证书操作验证类
*
* @author <a href="mailto:zlex.dongliang@gmail.com">梁栋</a>
* @version 1.0
* @since 1.0
*/
public class CertificateCoderTest {
private String certificatePath = "zlex.crt";
private String keyStorePath = "zlex.keystore";
private String keyStorePassword = "123456";
private String aliasPassword = "123456";
private String alias = "1";

@Test
public void test() throws Exception {
System.err.println("公钥加密——私钥解密");
String inputStr = "Ceritifcate";
byte[] data = inputStr.getBytes();

byte[] encrypt = CertificateCoder.encryptByPublicKey(data,
certificatePath);

byte[] decrypt = CertificateCoder.decryptByPrivateKey(encrypt,
keyStorePath, alias, keyStorePassword, aliasPassword);
String outputStr = new String(decrypt);

System.err.println("加密前: " + inputStr + "\n\r" + "解密后: " + outputStr);

// 验证数据一致
assertArrayEquals(data, decrypt);

// 验证证书有效
assertTrue(CertificateCoder.verifyCertificate(certificatePath));

}

@Test
public void testSign() throws Exception {
System.err.println("私钥加密——公钥解密");

String inputStr = "sign";
byte[] data = inputStr.getBytes();

byte[] encodedData = CertificateCoder.encryptByPrivateKey(data,
keyStorePath, keyStorePassword, alias, aliasPassword);

byte[] decodedData = CertificateCoder.decryptByPublicKey(encodedData,
certificatePath);

String outputStr = new String(decodedData);
System.err.println("加密前: " + inputStr + "\n\r" + "解密后: " + outputStr);
assertEquals(inputStr, outputStr);

System.err.println("私钥签名——公钥验证签名");
// 产生签名
byte[] sign = CertificateCoder.sign(encodedData, keyStorePath, alias,
keyStorePassword, aliasPassword);
System.err.println("签名:\r" + Hex.encodeHexString(sign));

// 验证签名
boolean status = CertificateCoder.verify(encodedData, sign,
certificatePath);
System.err.println("状态:\r" + status);
assertTrue(status);
}

@Test
public void testVerify() throws Exception {
System.err.println("密钥库证书有效期验证");
boolean status = CertificateCoder.verifyCertificate(new Date(),
keyStorePath, keyStorePassword, alias);
System.err.println("证书状态:\r" + status);
assertTrue(status);
}
}

View Code
第一个测试方法，用于提取公钥/私钥进行加密/解密操作。
第二个测试方法，用于提取签名算法进行签名/验证操作。
第三个测试方法，用于测试密钥库该别名对应的证书，当前日期下，是否有效。



OK，任务完成，密钥成功提取，剩下的都是代码基本功了！