#java #x509certificate #pki #csr
#java #x509certificate #pki #csr
Вопрос:
Я хотел бы знать, есть ли способ (на JAVA) сравнить сертификат, выданный центром сертификации для соответствующего CSR, с самим CSR. Чтобы быть более точным; Сравнение DN или сравнение открытого ключа?
Я сомневаюсь, что объект открытого ключа CSR можно сравнить с объектом открытого ключа сертификата. Возможно ли это?
Ответ №1:
Вы можете использовать сертификат, выданный центром сертификации, для проверки цифровой подписи в CSR. Каждый CSR подписывается закрытым ключом, соответствующим открытому ключу в CSR. Если вы можете использовать открытый ключ из сертификата для проверки подписи, вы можете убедиться, что они связаны.
Вы также можете сравнить открытый ключ в CSR с открытым ключом в сертификате. Я бы избегал сравнения DN, поскольку некоторое программное обеспечение CA позволяет регистрирующему органу изменять DN перед выдачей сертификата. Таким образом, вы могли бы получить сертификат, который имеет DN, отличный от того, который указан в CSR, даже если они напрямую связаны.
Комментарии:
1. Огромное спасибо за эту информацию. Сравнение открытого ключа означает, что на самом деле можно сравнить?? Его хэш или его модульная часть?? Есть ли способ добиться этого на Java?
2. Хэш будет работать. Просто вычислите хэш SHA-1 обоих открытых ключей, и все будет хорошо.