ฉันใช้ a SslServerSocketและใบรับรองไคลเอ็นต์และต้องการแยก CN จาก SubjectDN ออกจากไฟล์X509Certificate.
ในขณะที่ฉันโทรไปcert.getSubjectX500Principal().getName()แต่แน่นอนว่านี่ให้ DN ที่จัดรูปแบบทั้งหมดของไคลเอ็นต์ ด้วยเหตุผลบางอย่างฉันแค่สนใจในCN=theclientส่วนของ DN มีวิธีแยกส่วนนี้ของ DN โดยไม่ต้องแยกวิเคราะห์ String ด้วยตัวเองหรือไม่?
คำตอบ:
นี่คือโค้ดบางส่วนสำหรับ BouncyCastle API ใหม่ที่ยังไม่เลิกใช้ คุณจะต้องมีการแจกแจง bcmail และ bcprov
X509Certificate cert = ...;
X500Name x500name = new JcaX509CertificateHolder(cert).getSubject();
RDN cn = x500name.getRDNs(BCStyle.CN)[0];
return IETFUtils.valueToString(cn.getFirst().getValue());
IETFUtils.valueToStringไม่ปรากฏในการผลิตผลที่ถูกต้อง ฉันมี CN ที่มีเครื่องหมายเท่ากับเนื่องจากการเข้ารหัส 64 ฐาน (เช่นAAECAwQFBgcICQoLDA0ODw==) valueToStringวิธีการเพิ่มเครื่องหมายทับกลับไปยังผลที่ตามมา แทนการใช้งานtoStringดูเหมือนจะใช้งานได้ เป็นการยากที่จะระบุว่านี่เป็นการใช้ api ที่ถูกต้อง
นี่เป็นอีกวิธีหนึ่ง แนวคิดคือ DN ที่คุณได้รับอยู่ในรูปแบบ rfc2253 ซึ่งเหมือนกับที่ใช้สำหรับ LDAP DN ทำไมไม่ใช้ LDAP API ซ้ำ
import javax.naming.ldap.LdapName;
import javax.naming.ldap.Rdn;
String dn = x509cert.getSubjectX500Principal().getName();
LdapName ldapDN = new LdapName(dn);
for(Rdn rdn: ldapDN.getRdns()) {
System.out.println(rdn.getType() + " -> " + rdn.getValue());
}
String commonName = new LdapName(certificate.getSubjectX500Principal().getName()).getRdns().stream() .filter(i -> i.getType().equalsIgnoreCase("CN")).findFirst().get().getValue().toString();
CN(aka 2.5.4.3) Rdn#getValue()มีไฟล์String. อย่างไรก็ตามสำหรับประเภทที่กำหนดเองผลลัพธ์คือbyte[](อาจขึ้นอยู่กับการแทนค่าที่เข้ารหัสภายในเริ่มต้นด้วย#) Ofc, byte[]-> Stringเป็นไปได้ แต่มีอักขระเพิ่มเติม (คาดเดาไม่ได้) ฉันได้แก้ไขปัญหานี้ด้วยโซลูชัน @laz ตาม BC เพราะจัดการและถอดรหัสสิ่งนี้ได้อย่างถูกต้องในString.
หากการเพิ่มการอ้างอิงไม่ใช่ปัญหาคุณสามารถทำได้ด้วยAPI ของ Bouncy Castleสำหรับการทำงานกับใบรับรอง X.509:
import org.bouncycastle.asn1.x509.X509Name;
import org.bouncycastle.jce.PrincipalUtil;
import org.bouncycastle.jce.X509Principal;
...
final X509Principal principal = PrincipalUtil.getSubjectX509Principal(cert);
final Vector<?> values = principal.getValues(X509Name.CN);
final String cn = (String) values.get(0);
อัปเดต
ตอนที่โพสต์นี่คือวิธีทำ ตามที่ gtrak กล่าวไว้ในความคิดเห็นอย่างไรก็ตามแนวทางนี้เลิกใช้แล้ว ดูโค้ดที่อัปเดตของ gtrak ที่ใช้ Bouncy Castle API ใหม่
เป็นทางเลือกแทนรหัสของ gtrak ที่ไม่ต้องการ '' bcmail '':
X509Certificate cert = ...;
X500Principal principal = cert.getSubjectX500Principal();
X500Name x500name = new X500Name( principal.getName() );
RDN cn = x500name.getRDNs(BCStyle.CN)[0]);
return IETFUtils.valueToString(cn.getFirst().getValue());
@Jakub: ฉันใช้วิธีแก้ปัญหาของคุณจนต้องใช้ SW ของฉันบน Android และ Android ไม่ใช้ javax.naming.ldap :-(
X500Name x500Name = new X500Name(cert.getSubjectX500Principal().getName()); String cn = x500Name.getCommonName();(ใช้ java 8)
IETFUtils.valueToStringผลตอบแทนที่คุ้มค่าในหนีรูปแบบ ฉันพบว่าเพียงแค่การเรียกใช้.toString()งานแทนฉัน
หนึ่งบรรทัดกับhttp://www.cryptacular.org
CertUtil.subjectCN(certificate);
การพึ่งพา Maven:
<dependency>
<groupId>org.cryptacular</groupId>
<artifactId>cryptacular</artifactId>
<version>1.1.0</version>
</dependency>
คำตอบทั้งหมดที่โพสต์จนถึงขณะนี้มีปัญหา: ส่วนใหญ่ใช้การX500Nameพึ่งพา Bounty Castle ภายในหรือภายนอก ต่อไปนี้สร้างจากคำตอบของ @ Jakub และใช้ JDK API สาธารณะเท่านั้น แต่ยังแยก CN ตามที่ OP ขอด้วย นอกจากนี้ยังใช้ Java 8 ซึ่งยืนอยู่ในกลางปี 2560 คุณควร
Stream.of(certificate)
.map(cert -> cert.getSubjectX500Principal().getName())
.flatMap(name -> {
try {
return new LdapName(name).getRdns().stream()
.filter(rdn -> rdn.getType().equalsIgnoreCase("cn"))
.map(rdn -> rdn.getValue().toString());
} catch (InvalidNameException e) {
log.warn("Failed to get certificate CN.", e);
return Stream.empty();
}
})
.collect(joining(", "))
นี่คือวิธีดำเนินการโดยใช้ regex cert.getSubjectX500Principal().getName()ในกรณีที่คุณไม่ต้องการพึ่งพา BouncyCastle
regex นี้จะแยกวิเคราะห์ชื่อที่แตกต่างการตั้งชื่อnameและvalกลุ่มการจับสำหรับแต่ละการแข่งขัน
เมื่อสตริง DN ประกอบด้วยเครื่องหมายจุลภาคพวกเขาควรจะถูกยกมา - regex นี้จัดการทั้งสตริงที่ยกมาและไม่ได้คำพูดอย่างถูกต้องและยังจัดการกับเครื่องหมายคำพูดที่ใช้ Escape ในสตริงที่ยกมา:
(?:^|,\s?)(?:(?<name>[A-Z]+)=(?<val>"(?:[^"]|"")+"|[^,]+))+
นี่คือรูปแบบที่สวยงาม:
(?:^|,\s?)
(?:
(?<name>[A-Z]+)=
(?<val>"(?:[^"]|"")+"|[^,]+)
)+
นี่คือลิงค์เพื่อให้คุณสามารถดูการทำงานได้: https://regex101.com/r/zfZX3f/2
หากคุณต้องการให้ regex รับเฉพาะ CN เวอร์ชันที่ปรับแล้วนี้จะทำ:
(?:^|,\s?)(?:CN=(?<val>"(?:[^"]|"")+"|[^,]+))
ฉันมี BouncyCastle 1.49 และคลาสที่มีตอนนี้คือ org.bouncycastle.asn1.x509.Certificate ฉันดูรหัสของIETFUtils.valueToString()- มันกำลังทำบางอย่างที่น่าสนใจโดยใช้แบ็กสแลช สำหรับชื่อโดเมนนั้นไม่ได้ทำอะไรแย่ ๆ แต่ฉันรู้สึกว่าเราทำได้ดีกว่านี้ ในกรณีนี้ฉันได้ดูที่cn.getFirst().getValue()ส่งคืนสตริงประเภทต่างๆที่ทั้งหมดใช้อินเทอร์เฟซ ASN1String ซึ่งมีไว้เพื่อให้เมธอด getString () ดังนั้นสิ่งที่ดูเหมือนจะใช้ได้ผลสำหรับฉันคือ
Certificate c = ...;
RDN cn = c.getSubject().getRDNs(BCStyle.CN)[0];
return ((ASN1String)cn.getFirst().getValue()).getString();
UPDATE: ชั้นเรียนนี้อยู่ในแพ็คเกจ "sun" และคุณควรใช้ด้วยความระมัดระวัง ขอบคุณ Emil สำหรับความคิดเห็น :)
แค่อยากจะแบ่งปันเพื่อรับ CN ฉันทำ:
X500Name.asX500Name(cert.getSubjectX500Principal()).getCommonName();
เกี่ยวกับความคิดเห็นของ Emil Lundberg โปรดดู: เหตุใดนักพัฒนาจึงไม่ควรเขียนโปรแกรมที่เรียกแพ็คเกจ 'sun'
X500Nameการเป็น API ที่เป็นกรรมสิทธิ์ภายในซึ่งอาจถูกลบออกในอนาคต
อันที่จริงต้องขอบคุณที่gtrakดูเหมือนว่าจะได้รับใบรับรองไคลเอ็นต์และแยก CN สิ่งนี้น่าจะได้ผลมากที่สุด
X509Certificate[] certs = (X509Certificate[]) httpServletRequest
.getAttribute("javax.servlet.request.X509Certificate");
X509Certificate cert = certs[0];
X509CertificateHolder x509CertificateHolder = new X509CertificateHolder(cert.getEncoded());
X500Name x500Name = x509CertificateHolder.getSubject();
RDN[] rdns = x500Name.getRDNs(BCStyle.CN);
RDN rdn = rdns[0];
String name = IETFUtils.valueToString(rdn.getFirst().getValue());
return name;
สามารถใช้ cryptacular ซึ่งเป็นไลบรารีการเข้ารหัสของ Java ที่สร้างขึ้นด้านบนของ bouncycastle เพื่อให้ใช้งานได้ง่าย
RDNSequence dn = new NameReader(cert).readSubject();
return dn.getValue(StandardAttributeType.CommonName);
คุณสามารถลองใช้getName (X500Principal.RFC2253, oidMap)หรือgetName(X500Principal.CANONICAL, oidMap)ดูว่าอันไหนจัดรูปแบบสตริง DN ได้ดีที่สุด บางทีoidMapค่าแผนที่ค่าหนึ่งอาจเป็นสตริงที่คุณต้องการ
การดึง CN จากใบรับรองไม่ใช่เรื่องง่าย รหัสด้านล่างจะช่วยคุณได้อย่างแน่นอน
String certificateURL = "C://XYZ.cer"; //just pass location
CertificateFactory cf = CertificateFactory.getInstance("X.509");
X509Certificate testCertificate = (X509Certificate)cf.generateCertificate(new FileInputStream(certificateURL));
String certificateName = X500Name.asX500Name((new X509CertImpl(testCertificate.getEncoded()).getSubjectX500Principal())).getCommonName();
อีกวิธีหนึ่งในการใช้ Java ธรรมดา:
public static String getCommonName(X509Certificate certificate) {
String name = certificate.getSubjectX500Principal().getName();
int start = name.indexOf("CN=");
int end = name.indexOf(",", start);
if (end == -1) {
end = name.length();
}
return name.substring(start + 3, end);
}
นิพจน์ Regex ค่อนข้างแพงที่จะใช้ สำหรับงานง่ายๆเช่นนี้มันอาจจะเป็นการฆ่ามากเกินไป แต่คุณสามารถใช้การแยกสตริงแบบธรรมดา:
String dn = ((X509Certificate) certificate).getIssuerDN().getName();
String CN = getValByAttributeTypeFromIssuerDN(dn,"CN=");
private String getValByAttributeTypeFromIssuerDN(String dn, String attributeType)
{
String[] dnSplits = dn.split(",");
for (String dnSplit : dnSplits)
{
if (dnSplit.contains(attributeType))
{
String[] cnSplits = dnSplit.trim().split("=");
if(cnSplits[1]!= null)
{
return cnSplits[1].trim();
}
}
}
return "";
}
\,หรือค่าที่ยกมา
X500Name เป็นการใช้งาน JDK ภายใน แต่คุณสามารถใช้การสะท้อนกลับได้
public String getCN(String formatedDN) throws Exception{
Class<?> x500NameClzz = Class.forName("sun.security.x509.X500Name");
Constructor<?> constructor = x500NameClzz.getConstructor(String.class);
Object x500NameInst = constructor.newInstance(formatedDN);
Method method = x500NameClzz.getMethod("getCommonName", null);
return (String)method.invoke(x500NameInst, null);
}
BC ทำให้การสกัดง่ายขึ้นมาก:
X500Principal principal = x509Certificate.getSubjectX500Principal();
X500Name x500name = new X500Name(principal.getName());
String cn = x500name.getCommonName();
sun.security.x509.X500Nameซึ่งเนื่องจากคำตอบอื่น ๆ ที่ระบุไว้เมื่อหลายปีก่อนนั้นไม่มีเอกสารและไม่สามารถพึ่งพาได้
org.bouncycastle.asn1.x500.X500Nameคลาสซึ่งไม่แสดงวิธีการนั้น ...
สำหรับแอตทริบิวต์หลายค่า - โดยใช้ LDAP API ...
X509Certificate testCertificate = ....
X500Principal principal = testCertificate.getSubjectX500Principal(); // return subject DN
String dn = null;
if (principal != null)
{
String value = principal.getName(); // return String representation of DN in RFC 2253
if (value != null && value.length() > 0)
{
dn = value;
}
}
if (dn != null)
{
LdapName ldapDN = new LdapName(dn);
for (Rdn rdn : ldapDN.getRdns())
{
Attributes attributes = rdn != null
? rdn.toAttributes()
: null;
Attribute attribute = attributes != null
? attributes.get("CN")
: null;
if (attribute != null)
{
NamingEnumeration<?> values = attribute.getAll();
while (values != null && values.hasMoreElements())
{
Object o = values.next();
if (o != null && o instanceof String)
{
String cnValue = (String) o;
}
}
}
}
}