waysun一路陽光

不輕易服輸,不輕言放棄.--心是夢的舞臺，心有多大，舞臺有多大。踏踏實實做事，認認真真做人。

167 隨筆 :: 1 文章 :: 64 評論 :: 0 Trackbacks

cfca采用加密組件Bouncy Castle。
cfca證書工具包包含如下文件（服務器端，以jdk1.4為例）：
1、bcprov-jdk14-125.jar：security provider lib
2、bcmail-jdk14-125.jar：貌似郵件用的
3、cfcaDigitalKitTest.jar：cfca自己開發的工具包，就一個類
4、entbase.jar、entuser.jar：cfcaDigitalKitTest.jar要應用的2個jar包
5、cacerts：cfca的根證書鏈文件，是一個keystore文件，可以用keytool -list查看
6、castle.ini：cfca工具包的配置文件，內容如下

[CRL校驗部分]==========貌似可以不配
/*ldap服務器端口號*/
ldapServerPort=389
/*ldap服務器地址*/
ldapServerName=210.74.41.60
/*CFCA CRL cache存放目錄*/
cachedCRLDirPath=G:\\testCerts

[用戶證書部分]
/*用戶證書路徑*/==========這里可以配置keystore（擴展名必須是keysotre，寫死在cfca工具包中）或者pfx文件
userCertFilePath=D:\\java\\stf\\cfca\\cfcakeystore_server.keystore
/*訪問用戶證書口令*/
userCertPassword=Passw0rds
/*用戶證書別名,可選*/===========如果前面配的是keystore必須指定alias
userCertAlias=cfca_server

[可信CA庫口令]=============根證書鏈文件cacerts的默認文件
trustedCAStorePass=changeit

兩種方式使用cfca的證書工具包：
參考：http://danielzzu.blog.163.com/blog/static/11851530420101194345324/

一、配置方式（以jdk1.4為例）
1．添加安全庫
前置條件：獲得/usr/java14目錄的寫權限
動作：
要添加兩個安全jar文件：bcmail-jdk14-125.jar和bcprov-jdk14-125.jar
把這兩個jar放到/usr/java14/jre/lib/ext目錄下
修改這兩個jar包的權限：
chmod 755 bcmail-jdk14-125.jar
chmod 755 bcprov-jdk14-125.jar

2．配置安全文件java.security
該文件在/usr/java14/jre/lib/security/ 目錄下
在其中添加一行：
security.provider.N=org.bouncycastle.jce.provider.BouncyCastleProvider
其中N用具體的數字替換，如果文件中原有的security provider編號最大是4，則這里的N就用5，注意千萬不要與原有的security provider編號重復！

3．更新cacerts文件
該文件在/usr/java14/jre/lib/security/ 目錄下
首先對該目錄下原cacerts進行備份：mv cacerts cacerts.old
然后把提供的cacerts復制到這個目錄下
修改文件權限：chmod 755 cacerts

4．將cfcaDigitalKitTest.jar、entbase.jar、entuser.jar、castle.ini放到classpath中，就可以調用cfca工具包：

Java代碼  
import java.io.File;  
import java.io.FileInputStream;  
import java.security.KeyStore;  
import java.security.PrivateKey;  
import java.security.Security;  
import java.security.cert.X509Certificate;  
import java.util.Enumeration;  
import com.cfca.toolkit.*;  
  
public class TestSign {  
  
    /** 
     * @param args 
     */  
    public static void main(String[] args) {  
        // TODO Auto-generated method stub  
        try{  
            TestSign ts=new TestSign();;  
            String msg="test string !!!!!!";  
            System.out.println("簽名前數據："+msg);  
            String signedMsg=ts.signData(msg);  
            System.out.println("簽名后數據："+signedMsg);           
            String checkedMsg=ts.checkSign(signedMsg);  
            System.out.println("驗證簽名后數據："+checkedMsg);  
        }catch(Exception e){  
            e.printStackTrace();  
        }  
  
    }  
          
    public String signData(String msg) throws Exception{  
        Castle.iniFilePath = "D:\\java\\stf\\castle_client.ini";  
        Castle castle=new Castle();  
        castle.initCertAppContext();  
        return castle.signData(msg);  
    }  
      
    public String checkSign(String msg) throws Exception{  
        Castle.iniFilePath = "D:\\java\\stf\\castle.ini";  
        Castle castle=new Castle();  
//      castle.initCertAppContext();  
        System.out.println("簽名者DN："+castle.getDN(castle.getCertificate(msg)));  
        return castle.verifySignedData(msg);  
    }  
      
}  

二、編碼方式
配置方式稍顯麻煩，編碼方式無非在程序中指定provider

悲劇：cfca證書工具包中指定trustkeystore只能是上述配置的位于jdk目錄的cacerts，不能放在其他地方

Java代碼  
    //指定truststore(但經過測試，僅用客戶端證書簽名，用服務器端證書驗證簽名不需要配置truststore)  
 //驗證簽名不需要配置trustCA，但調用cfca工具包的驗證證書命令：verifyCertificate，就需要配置信任CA  
//      System.setProperty("javax.net.ssl.trustStore","D:\\java\\stf\\cacerts");     
//      System.setProperty("javax.net.ssl.trustStorePassword","changeit");    
    //指定provider  
        Security.addProvider(new BouncyCastleProvider());  

Java代碼  
import java.io.File;  
import java.io.FileInputStream;  
import java.security.KeyStore;  
import java.security.PrivateKey;  
import java.security.Security;  
import java.security.cert.X509Certificate;  
import java.util.Enumeration;  
import com.cfca.toolkit.*;  
  
import org.bouncycastle.jce.provider.BouncyCastleProvider;  
  
public class TestSign {  
  
    /** 
     * @param args 
     */  
    public static void main(String[] args) {  
        // TODO Auto-generated method stub  
        try{  
            TestSign ts=new TestSign();  
            String msg="test string?。。。。。。。?！";  
            System.out.println("簽名前數據："+msg);  
            String signedMsg=ts.signData(msg);  
            System.out.println("簽名后數據："+signedMsg);           
            String checkedMsg=ts.checkSign(signedMsg);  
            System.out.println("驗證簽名后數據："+checkedMsg);  
        }catch(Exception e){  
            e.printStackTrace();  
        }  
  
    }  
      
    public TestSign(){  
    //指定truststore(但經過測試，僅用客戶端證書簽名，用服務器端證書驗證簽名不需要配置truststore)  
 //驗證簽名不需要配置trustCA，但調用cfca工具包的驗證證書命令：verifyCertificate，就需要配置信任CA  
//      System.setProperty("javax.net.ssl.trustStore","D:\\java\\stf\\cacerts");     
//      System.setProperty("javax.net.ssl.trustStorePassword","changeit");    
    //指定provider  
        Security.addProvider(new BouncyCastleProvider());  
          
    }  
      
    public String signData(String msg) throws Exception{  
        Castle.iniFilePath = "D:\\java\\stf\\castle.ini";  
        Castle castle=new Castle();  
        castle.initCertAppContext();  
        return castle.signData(msg);  
    }  
      
    public String checkSign(String msg) throws Exception{  
        Castle.iniFilePath = "D:\\java\\stf\\castle_client.ini";  
        Castle castle=new Castle();  
//      castle.initCertAppContext();  
        System.out.println("簽名者DN："+castle.getDN(castle.getCertificate(msg)));  
        return castle.verifySignedData(msg);  
    }  
  
}  

posted on 2011-11-08 18:31 weesun一米陽光閱讀(3912) 評論(1) 編輯收藏

waysun一路陽光

公告

常用鏈接

隨筆分類(189)

隨筆檔案(160)

文章分類(1)

AJAX

搜索

積分與排名

最新隨筆

最新評論

評論


只有注冊用戶登錄后才能發表評論。




網站導航: 博客園 IT新聞 Chat2DB C++博客博問管理