compact1, compact2, compact3

java.security.cert

Класс X509Certificate

java.lang. Объект

java.security.cert. Сертификат

java.security.cert. X509Certificate

Все Реализованные Интерфейсы:

Сериализуемый, X509Extension

public abstract class X509Certificate
extends Certificate
implements X509Extension

Абстрактный class для сертификатов X.509. Это обеспечивает стандартный способ получить доступ ко всем атрибутам сертификата X.509.

В июне 1996 основной X.509 v3 формат был завершен ISO/IEC и ANSI X9, который описывается ниже в ASN.1:

 Certificate  ::=  SEQUENCE  {
     tbsCertificate       TBSCertificate,
     signatureAlgorithm   AlgorithmIdentifier,
     signature            BIT STRING  }
 

Эти сертификаты широко используются, чтобы поддерживать аутентификацию и другую функциональность в системах Защиты в сети Интернет. Общее применение включает Почту с усовершенствованной защитой (PEM), Безопасность Транспортного уровня (SSL), подписывание кода для распределения достоверного программного обеспечения, и Защищает Электронные Транзакции (НАБОР).

Этими сертификатами управляют и ручались за Центрами сертификации (АВАРИЯ). АВАРИЯ Является службами, которые создают сертификаты, помещая данные в стандартный формат X.509 и затем в цифровой форме подписывая те данные. Действие АВАРИИ как доверенные третьи стороны, представляющиеся между принципалами, у кого нет никаких сведений из первоисточника друг друга. Сертификаты CA или подписываются собой, или некоторым другим CA, таким как "корневой" CA.

Больше информации может быть найдено в RFC 3280: Интернет Сертификат Инфраструктуры управления открытыми ключами X.509 и Профиль CRL.

Определение ASN.1 tbsCertificate :

 TBSCertificate  ::=  SEQUENCE  {
     version         [0]  EXPLICIT Version DEFAULT v1,
     serialNumber         CertificateSerialNumber,
     signature            AlgorithmIdentifier,
     issuer               Name,
     validity             Validity,
     subject              Name,
     subjectPublicKeyInfo SubjectPublicKeyInfo,
     issuerUniqueID  [1]  IMPLICIT UniqueIdentifier OPTIONAL,
                          -- If present, version must be v2 or v3
     subjectUniqueID [2]  IMPLICIT UniqueIdentifier OPTIONAL,
                          -- If present, version must be v2 or v3
     extensions      [3]  EXPLICIT Extensions OPTIONAL
                          -- If present, version must be v3
     }
 

Сертификаты инстанцируют, используя фабрику сертификата. Следующее является примером того, как инстанцировать сертификата X.509:

 try (InputStream inStream = new FileInputStream("fileName-of-cert")) {
     CertificateFactory cf = CertificateFactory.getInstance("X.509");
     X509Certificate cert = (X509Certificate)cf.generateCertificate(inStream);
 }
 

См. Также:

Certificate, CertificateFactory, X509Extension, Сериализированная Форма

Вложенная Сводка Класса

Вложенные классы/интерфейсы, наследованные от class java.security.cert. Сертификат

Сертификат. CertificateRep

Сводка конструктора

Конструкторы

Модификатор	Конструктор и Описание
protected	X509Certificate() Конструктор для сертификатов X.509.

Сводка метода

Модификатор и Тип	Метод и Описание
abstract void	checkValidity() Проверки, что сертификат в настоящий момент допустим.
abstract void	checkValidity(Date date) Проверки, что данная дата в пределах срока действия сертификата.
abstract int	getBasicConstraints() Получает ограничительную длину пути сертификата от критического BasicConstraints расширение, (OID = 2.5.29.19).
List<String>	getExtendedKeyUsage() Получает неподдающийся изменению список Строк, представляющих ОБЪЕКТНЫЕ ИДЕНТИФИКАТОРЫ ExtKeyUsageSyntax поле расширенного ключевого расширения использования, (OID = 2.5.29.37).
Collection<List<?>>	getIssuerAlternativeNames() Получает неизменный набор имен альтернативы выпускающего от IssuerAltName расширение, (OID = 2.5.29.18).
abstract Principal	getIssuerDN() Клеветавший, замененный getIssuerX500Principal ().
abstract boolean[]	getIssuerUniqueID() Добирается issuerUniqueID значение от сертификата.
X500Principal	getIssuerX500Principal() Возвращает выпускающего (отличительное имя выпускающего) значение от сертификата как X500Principal.
abstract boolean[]	getKeyUsage() Получает булев массив, представляющий биты KeyUsage расширение, (OID = 2.5.29.15).
abstract Date	getNotAfter() Добирается notAfter дата со срока действия сертификата.
abstract Date	getNotBefore() Добирается notBefore дата со срока действия сертификата.
abstract BigInteger	getSerialNumber() Добирается serialNumber значение от сертификата.
abstract String	getSigAlgName() Получает имя алгоритма подписи для алгоритма подписи сертификата.
abstract String	getSigAlgOID() Получает строку OID алгоритма подписи от сертификата.
abstract byte[]	getSigAlgParams() Получает DER-закодированные параметры алгоритма подписи от алгоритма подписи этого сертификата.
abstract byte[]	getSignature() Добирается signature значение (необработанные биты подписи) от сертификата.
Collection<List<?>>	getSubjectAlternativeNames() Получает неизменный набор подчиненных альтернативных имен от SubjectAltName расширение, (OID = 2.5.29.17).
abstract Principal	getSubjectDN() Клеветавший, замененный getSubjectX500Principal ().
abstract boolean[]	getSubjectUniqueID() Добирается subjectUniqueID значение от сертификата.
X500Principal	getSubjectX500Principal() Возвращает предмет (подчиненное отличительное имя) значение от сертификата как X500Principal.
abstract byte[]	getTBSCertificate() Получает DER-закодированную информацию сертификата, tbsCertificate от этого сертификата.
abstract int	getVersion() Добирается version (номер версии) значение от сертификата.
void	verify(PublicKey key, Provider sigProvider) Проверяет, что этот сертификат был подписан, используя закрытый ключ, который соответствует указанному открытому ключу.

Методы, наследованные от class java.security.cert. Сертификат

equals, getEncoded, getPublicKey, getType, hashCode, toString, verify, verify, writeReplace

Методы, наследованные от class java.lang. Объект

clone, finalize, getClass, notify, notifyAll, wait, wait, wait

Методы, наследованные от интерфейса java.security.cert. X509Extension

getCriticalExtensionOIDs, getExtensionValue, getNonCriticalExtensionOIDs, hasUnsupportedCriticalExtension

Деталь конструктора

X509Certificate

protected X509Certificate()

Конструктор для сертификатов X.509.

Деталь метода

checkValidity

public abstract void checkValidity()
                            throws CertificateExpiredException,
                                   CertificateNotYetValidException

Проверки, что сертификат в настоящий момент допустим. Это - если текущая дата и время в пределах срока действия, данного в сертификате.

Срок действия состоит из двух дат/временных стоимостей: первые и последние даты (и времена), на котором сертификат допустим. Это определяется в ASN.1 как:

 validity             Validity

 Validity ::= SEQUENCE {
     notBefore      CertificateValidityDate,
     notAfter       CertificateValidityDate }

 CertificateValidityDate ::= CHOICE {
     utcTime        UTCTime,
     generalTime    GeneralizedTime }
 

Броски:

CertificateExpiredException - если сертификат истек.

CertificateNotYetValidException - если сертификат еще не допустим.

checkValidity

public abstract void checkValidity(Date date)
                            throws CertificateExpiredException,
                                   CertificateNotYetValidException

Проверки, что данная дата в пределах срока действия сертификата. Другими словами это определяет, был ли бы сертификат допустим в данной дате/времени.

Параметры:

date - Дата, чтобы проверить по видеть, допустим ли этот сертификат в той дате/времени.

Броски:

CertificateExpiredException - если сертификат истек относительно date предоставленный.

CertificateNotYetValidException - если сертификат еще не допустим относительно date предоставленный.

См. Также:

checkValidity()

getVersion

public abstract int getVersion()

Добирается version (номер версии) значение от сертификата. Определение ASN.1 для этого:

 version  [0] EXPLICIT Version DEFAULT v1

 Version ::=  INTEGER  {  v1(0), v2(1), v3(2)  }
 

Возвраты:

номер версии, то есть 1, 2 или 3.

getSerialNumber

public abstract BigInteger getSerialNumber()

Добирается serialNumber значение от сертификата. Порядковый номер является целым числом, присвоенным центром сертификации каждому сертификату. Это должно быть уникально для каждого сертификата, выпущенного данным CA (то есть, имя выпускающего и порядковый номер идентифицируют уникальный сертификат). Определение ASN.1 для этого:

 serialNumber     CertificateSerialNumber


 CertificateSerialNumber  ::=  INTEGER
 

Возвраты:

порядковый номер.

getIssuerDN

public abstract Principal getIssuerDN()

Клеветавший, замененный getIssuerX500Principal (). Этот метод возвращается issuer как реализация определенный Объект принципала, на который не должен положиться переносимый код.

Добирается issuer (отличительное имя выпускающего), оценивают от сертификата. Имя выпускающего идентифицирует объект, который подписался (и вышел), сертификат.

Поле имени выпускающего содержит отличительное имя X.500 (DN). Определение ASN.1 для этого:

 issuer    Name


 Name ::= CHOICE { RDNSequence }
 RDNSequence ::= SEQUENCE OF RelativeDistinguishedName
 RelativeDistinguishedName ::=
     SET OF AttributeValueAssertion

 AttributeValueAssertion ::= SEQUENCE {
                               AttributeType,
                               AttributeValue }
 AttributeType ::= OBJECT IDENTIFIER
 AttributeValue ::= ANY
 

Name описывает иерархическое имя, составленное из атрибутов, таких как название страны, и соответствующие значения, такие как US. Тип AttributeValue компонент определяется AttributeType; вообще это будет a directoryString. A directoryString обычно один из PrintableString, TeletexString или UniversalString.

Возвраты:

Принципал, имя которого является отличительным именем выпускающего.

getIssuerX500Principal

public X500Principal getIssuerX500Principal()

Возвращает выпускающего (отличительное имя выпускающего) значение от сертификата как X500Principal.

Рекомендуется, чтобы подклассы переопределили этот метод.

Возвраты:

X500Principal представление отличительного имени выпускающего

С тех пор:

1.4

getSubjectDN

public abstract Principal getSubjectDN()

Клеветавший, замененный getSubjectX500Principal (). Этот метод возвращается subject как реализация определенный Объект принципала, на который не должен положиться переносимый код.

Добирается subject (подвергните отличительное имя), значение от сертификата. Если subject значение пусто, тогда getName() метод возвращенного Principal возразите возвращает пустую строку ("").

Определение ASN.1 для этого:

 subject    Name
 

См. getIssuerDN для Name и другие соответствующие определения.

Возвраты:

Принципал, имя которого является подчиненным именем.

getSubjectX500Principal

public X500Principal getSubjectX500Principal()

Возвращает предмет (подчиненное отличительное имя) значение от сертификата как X500Principal. Если подчиненное значение пусто, то getName() метод возвращенного X500Principal возразите возвращает пустую строку ("").

Рекомендуется, чтобы подклассы переопределили этот метод.

Возвраты:

X500Principal представление подчиненного отличительного имени

С тех пор:

1.4

getNotBefore

public abstract Date getNotBefore()

Добирается notBefore дата со срока действия сертификата. Соответствующие определения ASN.1:

 validity             Validity


 Validity ::= SEQUENCE {
     notBefore      CertificateValidityDate,
     notAfter       CertificateValidityDate }

 CertificateValidityDate ::= CHOICE {
     utcTime        UTCTime,
     generalTime    GeneralizedTime }
 

Возвраты:

дата начала срока действия.

См. Также:

checkValidity()

getNotAfter

public abstract Date getNotAfter()

Добирается notAfter дата со срока действия сертификата. См. getNotBefore для соответствующих определений ASN.1.

Возвраты:

дата окончания срока действия.

См. Также:

checkValidity()

getTBSCertificate

public abstract byte[] getTBSCertificate()
                                  throws CertificateEncodingException

Получает DER-закодированную информацию сертификата, tbsCertificate от этого сертификата. Это может использоваться, чтобы проверить подпись независимо.

Возвраты:

DER-закодированная информация о сертификате.

Броски:

CertificateEncodingException - если ошибка кодирования происходит.

getSignature

public abstract byte[] getSignature()

Добирается signature значение (необработанные биты подписи) от сертификата. Определение ASN.1 для этого:

 signature     BIT STRING
 

Возвраты:

подпись.

getSigAlgName

public abstract String getSigAlgName()

Получает имя алгоритма подписи для алгоритма подписи сертификата. Примером является строка "SHA256withRSA". Определение ASN.1 для этого:

 signatureAlgorithm   AlgorithmIdentifier

 AlgorithmIdentifier  ::=  SEQUENCE  {
     algorithm               OBJECT IDENTIFIER,
     parameters              ANY DEFINED BY algorithm OPTIONAL  }
                             -- contains a value of the type
                             -- registered for use with the
                             -- algorithm object identifier value
 

Имя алгоритма определяется от algorithm Строка OID.

Возвраты:

имя алгоритма подписи.

getSigAlgOID

public abstract String getSigAlgOID()

Получает строку OID алгоритма подписи от сертификата. OID представляется рядом неотрицательных целых чисел, разделенных периодами. Например, строка "1.2.840.10040.4.3" идентифицирует SHA 1 с алгоритмом подписи DSA, определенным в RFC 3279: Алгоритмы и Идентификаторы для Интернета Сертификат Инфраструктуры управления открытыми ключами X.509 и Профиль CRL.

См. getSigAlgName для соответствующих определений ASN.1.

Возвраты:

строка OID алгоритма подписи.

getSigAlgParams

public abstract byte[] getSigAlgParams()

Получает DER-закодированные параметры алгоритма подписи от алгоритма подписи этого сертификата. В большинстве случаев параметры алгоритма подписи являются нулем; параметры обычно предоставляются открытым ключом сертификата. Если доступ к отдельным значениям параметра необходим тогда использование AlgorithmParameters и инстанцируйте с именем, возвращенным getSigAlgName.

См. getSigAlgName для соответствующих определений ASN.1.

Возвраты:

DER-закодированные параметры алгоритма подписи, или нуль, если никакие параметры не присутствуют.

getIssuerUniqueID

public abstract boolean[] getIssuerUniqueID()

Добирается issuerUniqueID значение от сертификата. Уникальный идентификатор выпускающего присутствует в сертификате, чтобы обработать возможность повторного использования имен выпускающего в течение долгого времени. RFC 3280 рекомендует, чтобы имена не были снова использованы и что приспосабливание сертификатам не использует уникальные идентификаторы. Приложения, соответствующие тому профилю, должны быть способными к парсингу уникальных идентификаторов и созданию сравнений.

Определение ASN.1 для этого:

 issuerUniqueID  [1]  IMPLICIT UniqueIdentifier OPTIONAL

 UniqueIdentifier  ::=  BIT STRING
 

Возвраты:

уникальный идентификатор выпускающего или нуль, если это не присутствует в сертификате.

getSubjectUniqueID

public abstract boolean[] getSubjectUniqueID()

Добирается subjectUniqueID значение от сертификата.

Определение ASN.1 для этого:

 subjectUniqueID  [2]  IMPLICIT UniqueIdentifier OPTIONAL

 UniqueIdentifier  ::=  BIT STRING
 

Возвраты:

подчиненный уникальный идентификатор или нуль, если это не присутствует в сертификате.

getKeyUsage

public abstract boolean[] getKeyUsage()

Получает булев массив, представляющий биты KeyUsage расширение, (OID = 2.5.29.15). Ключевое расширение использования определяет цель (например, шифровка, подпись, подписание сертификата) ключа, содержавшегося в сертификате. Определение ASN.1 для этого:

 KeyUsage ::= BIT STRING {
     digitalSignature        (0),
     nonRepudiation          (1),
     keyEncipherment         (2),
     dataEncipherment        (3),
     keyAgreement            (4),
     keyCertSign             (5),
     cRLSign                 (6),
     encipherOnly            (7),
     decipherOnly            (8) }
 

RFC 3280 рекомендует, чтобы когда использующийся, это было отмечено как критическое расширение.

Возвраты:

расширение KeyUsage этого сертификата, представленного как массив булевских переменных. Порядок значений KeyUsage в массиве является тем же самым как в вышеупомянутом определение ASN.1. Массив будет содержать значение для каждого KeyUsage, определенного выше. Если список KeyUsage, закодированный в сертификате, будет более длинным чем вышеупомянутый список, то это не будет усеченным. Нуль возвратов, если этот сертификат не содержит расширение KeyUsage.

getExtendedKeyUsage

public List<String> getExtendedKeyUsage()
                                 throws CertificateParsingException

Получает неподдающийся изменению список Строк, представляющих ОБЪЕКТНЫЕ ИДЕНТИФИКАТОРЫ ExtKeyUsageSyntax поле расширенного ключевого расширения использования, (OID = 2.5.29.37). Это указывает на одну или более целей, в которых сертифицированный открытый ключ может использоваться, в дополнение к или вместо основных целей, обозначенных в ключевом поле расширения использования. Определение ASN.1 для этого:

 ExtKeyUsageSyntax ::= SEQUENCE SIZE (1..MAX) OF KeyPurposeId


 KeyPurposeId ::= OBJECT IDENTIFIER

 

Ключевые цели могут быть определены любой организацией с потребностью. Объектные идентификаторы, используемые, чтобы идентифицировать ключевые цели, должны быть присвоены в соответствии с IANA или ITU-T Rec. X.660 | ISO/IEC/ITU 9834-1.

Этот метод был добавлен к версии 1.4 Java 2 Платформы Standard Edition. Чтобы поддержать назад совместимость с существующими поставщиками услуг, этот метод не abstract и это обеспечивает реализацию по умолчанию. Подклассы должны переопределить этот метод с корректной реализацией.

Возвраты:

расширение ExtendedKeyUsage этого сертификата, как неподдающийся изменению список объектных идентификаторов, представленных как Строки. Нуль возвратов, если этот сертификат не содержит расширение ExtendedKeyUsage.

Броски:

CertificateParsingException - если расширение не может декодироваться

С тех пор:

1.4

getBasicConstraints

public abstract int getBasicConstraints()

Получает ограничительную длину пути сертификата от критического BasicConstraints расширение, (OID = 2.5.29.19).

Основное ограничительное расширение идентифицирует, является ли предметом сертификата Центр сертификации (CA) и как глубоко путь сертификации может существовать через тот CA. pathLenConstraint поле (см. ниже) значимо только если cA устанавливается в ИСТИНУ. В этом случае это дает максимальное количество сертификатов CA, которые могут следовать за этим сертификатом в пути сертификации. Значение нуля указывает, что только сертификат объекта конца может следовать в пути.

Определение ASN.1 для этого:

 BasicConstraints ::= SEQUENCE {
     cA                  BOOLEAN DEFAULT FALSE,
     pathLenConstraint   INTEGER (0..MAX) OPTIONAL }
 

Возвраты:

значение pathLenConstraint если расширение BasicConstraints присутствует в сертификате, и предметом сертификата является CA, иначе-1. Если предметом сертификата является CA и pathLenConstraint не появляется, Integer.MAX_VALUE возвращается, чтобы указать, что нет никакого предела позволенной длине пути сертификации.

getSubjectAlternativeNames

public Collection<List<?>> getSubjectAlternativeNames()
                                               throws CertificateParsingException

Получает неизменный набор подчиненных альтернативных имен от SubjectAltName расширение, (OID = 2.5.29.17).

Определение ASN.1 SubjectAltName расширение:

 SubjectAltName ::= GeneralNames

 GeneralNames :: = SEQUENCE SIZE (1..MAX) OF GeneralName

 GeneralName ::= CHOICE {
      otherName                       [0]     OtherName,
      rfc822Name                      [1]     IA5String,
      dNSName                         [2]     IA5String,
      x400Address                     [3]     ORAddress,
      directoryName                   [4]     Name,
      ediPartyName                    [5]     EDIPartyName,
      uniformResourceIdentifier       [6]     IA5String,
      iPAddress                       [7]     OCTET STRING,
      registeredID                    [8]     OBJECT IDENTIFIER}
 

Если этот сертификат не содержит a SubjectAltName расширение, null возвращается. Иначе, a Collection возвращается с записью, представляющей каждого GeneralName включенный в расширение. Каждая запись является a List чья первая запись Integer (тип имени, 0-8) и чья вторая запись является a String или байтовый массив (имя, в строке или ASN.1 DER закодированная форма, соответственно).

RFC 822, DNS, и имена URI возвращаются как Strings, используя известные строковые форматы для тех типов (подвергают ограничениям, включенным в RFC 3280). Имена адреса IPv4 возвращаются, используя отмеченную точкой нотацию четверки. Имена адреса IPv6 возвращаются в форме "a1:a2:...:a8", где a1-a8 являются шестнадцатеричными значениями, представляющими восемь 16-разрядных частей адреса. Имена OID возвращаются как Strings представленный, поскольку серия неотрицательных целых чисел отделилась к периодам. И имена каталогов (отличительные имена) возвращаются в строковом формате RFC 2253. Никакой стандартный строковый формат не определяется для otherNames, имен X.400, имен стороны EDI, или никакого другого типа имен. Они возвращаются как байтовые массивы, содержащие ASN.1 DER закодированная форма имени.

Отметьте что Collection возвращенный может содержать больше чем одно имя того же самого типа. Кроме того, отметьте что возвращенный Collection является неизменным, и любые записи, содержащие байтовые массивы, клонируются, чтобы защитить от последующих модификаций.

Этот метод был добавлен к версии 1.4 Java 2 Платформы Standard Edition. Чтобы поддержать назад совместимость с существующими поставщиками услуг, этот метод не abstract и это обеспечивает реализацию по умолчанию. Подклассы должны переопределить этот метод с корректной реализацией.

Возвраты:

неизменное Collection из подчиненных альтернативных имен (или null)

Броски:

CertificateParsingException - если расширение не может декодироваться

С тех пор:

1.4

getIssuerAlternativeNames

public Collection<List<?>> getIssuerAlternativeNames()
                                              throws CertificateParsingException

Получает неизменный набор имен альтернативы выпускающего от IssuerAltName расширение, (OID = 2.5.29.18).

Определение ASN.1 IssuerAltName расширение:

 IssuerAltName ::= GeneralNames
 

Определение ASN.1 GeneralNames определяется в getSubjectAlternativeNames.

Если этот сертификат не содержит IssuerAltName расширение, null возвращается. Иначе, a Collection возвращается с записью, представляющей каждого GeneralName включенный в расширение. Каждая запись является a List чья первая запись Integer (тип имени, 0-8) и чья вторая запись является a String или байтовый массив (имя, в строке или ASN.1 DER закодированная форма, соответственно). Для получения дополнительной информации о форматах, используемых для каждого типа имени, см. getSubjectAlternativeNames метод.

Отметьте что Collection возвращенный может содержать больше чем одно имя того же самого типа. Кроме того, отметьте что возвращенный Collection является неизменным, и любые записи, содержащие байтовые массивы, клонируются, чтобы защитить от последующих модификаций.

Этот метод был добавлен к версии 1.4 Java 2 Платформы Standard Edition. Чтобы поддержать назад совместимость с существующими поставщиками услуг, этот метод не abstract и это обеспечивает реализацию по умолчанию. Подклассы должны переопределить этот метод с корректной реализацией.

Возвраты:

неизменное Collection из имен альтернативы выпускающего (или null)

Броски:

CertificateParsingException - если расширение не может декодироваться

С тех пор:

1.4

проверить

public void verify(PublicKey key,
                   Provider sigProvider)
            throws CertificateException,
                   NoSuchAlgorithmException,
                   InvalidKeyException,
                   SignatureException

Проверяет, что этот сертификат был подписан, используя закрытый ключ, который соответствует указанному открытому ключу. Этот метод использует механизм проверки подписи, предоставленный указанным провайдером. Отметьте, что указанный объект Провайдера не должен быть зарегистрирован в списке провайдера. Этот метод был добавлен к версии 1.8 Платформы Java Standard Edition. Чтобы поддержать назад совместимость с существующими поставщиками услуг, этот метод не abstract и это обеспечивает реализацию по умолчанию.

Переопределения:

verify в class Certificate

Параметры:

key - PublicKey имел обыкновение выполнять проверку.

sigProvider - провайдер подписи.

Броски:

NoSuchAlgorithmException - на неподдерживаемых алгоритмах подписи.

InvalidKeyException - на неправильном ключе.

SignatureException - на ошибках подписи.

CertificateException - при кодировании ошибок.

UnsupportedOperationException - если метод не поддерживается

С тех пор:

1.8