您可以通过获取上的javax.servlet.request.X509Certificate属性来获取客户端证书链HttpServletRequest。这是阵列X509Certificate小号其中第一个（位置0）是实际的客户端证书（该链的其余部分如果需要中间CA证书可以存在）。

X509Certificate certs[] = 
    (X509Certificate[])req.getAttribute("javax.servlet.request.X509Certificate");
// ... Test if non-null, non-empty.

X509Certificate clientCert = certs[0];

// Get the Subject DN's X500Principal
X500Principal subjectDN = clientCert.getSubjectX500Principal();

然后，您可以按照此答案中的描述在此主体（例如CN）中获得各种RDN（相对专有名称）：

import javax.naming.ldap.LdapName;
import javax.naming.ldap.Rdn;

String dn = subjectDN.getName();
LdapName ldapDN = new LdapName(dn);
for(Rdn rdn: ldapDN.getRdns()) {
    System.out.println(rdn.getType() + " -> " + rdn.getValue());
}

（您也可以使用BouncyCastle X509Name来获取每个RDN。）

在X.509证书中，主题DN是RDN的有序序列，每个RDN都是一组AVA（属性值断言），例如CN=...或O=...。原则上，每个RDN可以有多个AVA，这会在这里引起问题，但这很少见。您几乎可以假设每个RDN只有一个AVA。