在Tomcat中读出传入证书
我使用带有客户端身份validation的tomcat http连接器。 如果客户端启动与我的服务器的新连接并发送其证书,我是否可以获取证书并从我的java代码中读取传入证书的公用名。 如果有,怎么样?
谢谢阿迪
您可以通过获取HttpServletRequest
上的javax.servlet.request.X509Certificate
属性来获取客户端证书链。 这是X509Certificate
的数组,其中第一个(位置0)是实际的客户端证书(如果需要中间CA证书,则可能存在链的其余部分)。
X509Certificate certs[] = (X509Certificate[])req.getAttribute("javax.servlet.request.X509Certificate"); // ... Test if non-null, non-empty. X509Certificate clientCert = certs[0]; // Get the Subject DN's X500Principal X500Principal subjectDN = clientCert.getSubjectX500Principal();
然后,您可以获得此主体(例如CN)中的各种RDN(相对可分辨名称),如本答案中所述 :
import javax.naming.ldap.LdapName; import javax.naming.ldap.Rdn; String dn = subjectDN.getName(); LdapName ldapDN = new LdapName(dn); for(Rdn rdn: ldapDN.getRdns()) { System.out.println(rdn.getType() + " -> " + rdn.getValue()); }
(您也可以使用BouncyCastle的X509Name
来获取每个RDN。)
在X.509证书中,主题DN是有序的RDN序列,每个RDN是一组AVA(属性值断言),例如CN=...
或O=...
原则上,每个RDN可能有多个AVA,这会引起问题,但这种情况非常罕见。 您几乎可以假设每个RDN只有一个AVA。 (也许这个答案可能会引起人们的兴趣。)
感谢mazaneicha:
String cipherSuite = (String) req.getAttribute("javax.servlet.request.cipher_suite"); if (cipherSuite != null) { X509Certificate certChain[] = (X509Certificate[]) req.getAttribute("javax.servlet.request.X509Certificate"); if (certChain != null) { for (int i = 0; i < certChaNin.length; i++) { System.out.println ("Client Certificate [" + i + "] = " + certChain[i].toString()); } } }