一尘不染

读取Tomcat中的传入证书

tomcat

我使用带有客户端身份验证的tomcat
http连接器。如果客户端开始与我的服务器建立新连接并发送他的证书,我可以在Java代码中获取证书并从传入的证书中读取通用名称。如果是,怎么办?

谢谢阿迪


阅读 251

收藏
2020-06-16

共1个答案

一尘不染

您可以通过获取上的javax.servlet.request.X509Certificate属性来获取客户端证书链HttpServletRequest。这是阵列X509Certificate小号其中第一个(位置0)是实际的客户端证书(该链的其余部分如果需要中间CA证书可以存在)。

X509Certificate certs[] = 
    (X509Certificate[])req.getAttribute("javax.servlet.request.X509Certificate");
// ... Test if non-null, non-empty.

X509Certificate clientCert = certs[0];

// Get the Subject DN's X500Principal
X500Principal subjectDN = clientCert.getSubjectX500Principal();

然后,您可以按照此答案中的描述在主体(例如CN)中获得各种RDN(相对专有名称):

import javax.naming.ldap.LdapName;
import javax.naming.ldap.Rdn;

String dn = subjectDN.getName();
LdapName ldapDN = new LdapName(dn);
for(Rdn rdn: ldapDN.getRdns()) {
    System.out.println(rdn.getType() + " -> " + rdn.getValue());
}

(您也可以使用BouncyCastle X509Name来获取每个RDN。)

在X.509证书中,主题DN是RDN的有序序列,每个RDN都是一组AVA(属性值断言),例如CN=...O=...。原则上,每个RDN可以有多个AVA,这会在这里引起问题,但这很少见。您几乎可以假设每个RDN只有一个AVA。

2020-06-16