SslServerSocketとクライアント証明書を使用していて、クライアントのSubjectDNからCNを抽出したいと思いますX509Certificate。
現時点では電話をかけてcert.getSubjectX500Principal().getName()いますが、もちろんこれにより、クライアントのフォーマットされたDNの合計がわかります。どういうわけか、私はCN=theclientDNの部分に興味があります。文字列を自分で解析せずにDNのこの部分を抽出する方法はありますか?
回答:
非推奨ではない新しいBouncyCastleAPIのコードを次に示します。bcmailとbcprovの両方のディストリビューションが必要です。
X509Certificate cert = ...;
X500Name x500name = new JcaX509CertificateHolder(cert).getSubject();
RDN cn = x500name.getRDNs(BCStyle.CN)[0];
return IETFUtils.valueToString(cn.getFirst().getValue());
IETFUtils.valueToString正しい結果を生成するためには表示されません。Base 64エンコーディングのためにいくつかの等号を含むCNがあります(例AAECAwQFBgcICQoLDA0ODw==)。このvalueToStringメソッドは、結果にスラッシュを追加します。その代わりに、使用toStringが機能しているようです。これが実際にAPIの正しい使用法であるかどうかを判断するのは困難です。
ここに別の方法があります。取得するDNはrfc2253形式であり、LDAPDNに使用されるものと同じであるという考え方です。では、LDAP APIを再利用してみませんか?
import javax.naming.ldap.LdapName;
import javax.naming.ldap.Rdn;
String dn = x509cert.getSubjectX500Principal().getName();
LdapName ldapDN = new LdapName(dn);
for(Rdn rdn: ldapDN.getRdns()) {
System.out.println(rdn.getType() + " -> " + rdn.getValue());
}
String commonName = new LdapName(certificate.getSubjectX500Principal().getName()).getRdns().stream() .filter(i -> i.getType().equalsIgnoreCase("CN")).findFirst().get().getValue().toString();
CN(aka 2.5.4.3)のようなよく知られたタイプのようなタイプのフィールドにRdn#getValue()は、が含まれますString。ただし、カスタムタイプの場合、結果は次のようになりますbyte[](おそらく、で始まる内部エンコード表現に基づいてい#ます)。多くの場合、byte[]->Stringは可能ですが、追加の(予測できない)文字が含まれています。でこれを正しく処理およびデコードするため、BCに基づく@lazソリューションでこれを解決しましたString。
依存関係の追加が問題にならない場合は、X.509証明書を操作するためのBouncyCastleのAPIを使用してこれを行うことができます。
import org.bouncycastle.asn1.x509.X509Name;
import org.bouncycastle.jce.PrincipalUtil;
import org.bouncycastle.jce.X509Principal;
...
final X509Principal principal = PrincipalUtil.getSubjectX509Principal(cert);
final Vector<?> values = principal.getValues(X509Name.CN);
final String cn = (String) values.get(0);
更新
この投稿の時点で、これはこれを行う方法でした。ただし、gtrakがコメントで言及しているように、このアプローチは現在非推奨です。新しいBouncyCastleAPIを使用するgtrakの更新されたコードを参照してください。
'' bcmail ''を必要としないgtrakのコードの代替として:
X509Certificate cert = ...;
X500Principal principal = cert.getSubjectX500Principal();
X500Name x500name = new X500Name( principal.getName() );
RDN cn = x500name.getRDNs(BCStyle.CN)[0]);
return IETFUtils.valueToString(cn.getFirst().getValue());
@Jakub:SWをAndroidで実行する必要があるまで、私はあなたのソリューションを使用しました。そしてAndroidはjavax.naming.ldapを実装していません:-(
X500Name x500Name = new X500Name(cert.getSubjectX500Principal().getName()); String cn = x500Name.getCommonName();
IETFUtils.valueToStringで値を返すエスケープ形式。.toString()代わりに呼び出すだけでうまくいくことがわかりました。
これまでに投稿されたすべての回答にはいくつかの問題があります。ほとんどの場合、内部X500Nameまたは外部のバウンティキャッスルの依存関係を使用します。以下は@Jakubの回答に基づいており、パブリックJDK APIのみを使用しますが、OPからの要求に応じてCNも抽出します。また、2017年半ばに登場するJava8も使用しています。
Stream.of(certificate)
.map(cert -> cert.getSubjectX500Principal().getName())
.flatMap(name -> {
try {
return new LdapName(name).getRdns().stream()
.filter(rdn -> rdn.getType().equalsIgnoreCase("cn"))
.map(rdn -> rdn.getValue().toString());
} catch (InvalidNameException e) {
log.warn("Failed to get certificate CN.", e);
return Stream.empty();
}
})
.collect(joining(", "))
正規表現を使用してそれを行う方法は次のとおりです cert.getSubjectX500Principal().getName()BouncyCastleに依存したくない場合に備えは次のとおりです。
この正規表現は与えて、識別名を解析しますnameと、val一致するたびにグループてキャプチャします。
DN文字列にコンマが含まれている場合、それらは引用符で囲まれていることを意味します。この正規表現は、引用符で囲まれた文字列と引用符で囲まれていない文字列の両方を正しく処理し、引用符で囲まれた文字列でエスケープされた引用符も処理します。
(?:^|,\s?)(?:(?<name>[A-Z]+)=(?<val>"(?:[^"]|"")+"|[^,]+))+
これはうまくフォーマットされています:
(?:^|,\s?)
(?:
(?<name>[A-Z]+)=
(?<val>"(?:[^"]|"")+"|[^,]+)
)+
実際の動作を確認できるリンクは次のとおりです:https: //regex101.com/r/zfZX3f/2
正規表現でCNのみを取得する場合は、この適合バージョンで実行できます。
(?:^|,\s?)(?:CN=(?<val>"(?:[^"]|"")+"|[^,]+))
BouncyCastle 1.49があり、現在のクラスはorg.bouncycastle.asn1.x509.Certificateです。私はのコードを調べましたIETFUtils.valueToString()-それはバックスラッシュでいくつかの派手なエスケープをしています。ドメイン名については何も悪いことはありませんが、もっとうまくやれると思います。私が見た場合cn.getFirst().getValue()、すべてがASN1Stringインターフェースを実装するさまざまな種類の文字列を返します。これは、getString()メソッドを提供するためにあります。だから、私にとってうまくいくように見えるのは
Certificate c = ...;
RDN cn = c.getSubject().getRDNs(BCStyle.CN)[0];
return ((ASN1String)cn.getFirst().getValue()).getString();
更新:このクラスは「sun」パッケージに含まれているため、注意して使用する必要があります。コメントをありがとうEmil :)
CNを取得するために、共有したかっただけです。
X500Name.asX500Name(cert.getSubjectX500Principal()).getCommonName();
Emil Lundbergのコメントについては、「開発者が「sun」パッケージを呼び出すプログラムを作成すべきでない理由」を参照してください。
X500Name将来のリリースで削除される可能性のある内部独自のAPIであることについて警告していることに注意してください。
実際、gtrakクライアント証明書を取得してCNを抽出するために、これはおそらく機能するようです。
X509Certificate[] certs = (X509Certificate[]) httpServletRequest
.getAttribute("javax.servlet.request.X509Certificate");
X509Certificate cert = certs[0];
X509CertificateHolder x509CertificateHolder = new X509CertificateHolder(cert.getEncoded());
X500Name x500Name = x509CertificateHolder.getSubject();
RDN[] rdns = x500Name.getRDNs(BCStyle.CN);
RDN rdn = rdns[0];
String name = IETFUtils.valueToString(rdn.getFirst().getValue());
return name;
簡単に使用できるように、bouncycastleの上に構築されたJava暗号化ライブラリであるcryptacularを使用できます。
RDNSequence dn = new NameReader(cert).readSubject();
return dn.getValue(StandardAttributeType.CommonName);
あなたは使用して試みることができるのgetName(X500Principal.RFC2253、oidMapを)か、getName(X500Principal.CANONICAL, oidMap)どちらの形式DN文字列のベストを見て。たぶん、oidMapマップ値の1つは必要な文字列になります。
証明書からCNを取得するのはそれほど簡単ではありません。以下のコードは間違いなくあなたを助けます。
String certificateURL = "C://XYZ.cer"; //just pass location
CertificateFactory cf = CertificateFactory.getInstance("X.509");
X509Certificate testCertificate = (X509Certificate)cf.generateCertificate(new FileInputStream(certificateURL));
String certificateName = X500Name.asX500Name((new X509CertImpl(testCertificate.getEncoded()).getSubjectX500Principal())).getCommonName();
プレーンJavaを使用するもう1つの方法:
public static String getCommonName(X509Certificate certificate) {
String name = certificate.getSubjectX500Principal().getName();
int start = name.indexOf("CN=");
int end = name.indexOf(",", start);
if (end == -1) {
end = name.length();
}
return name.substring(start + 3, end);
}
正規表現は、使用するのにかなり費用がかかります。そのような単純なタスクの場合、それはおそらくやり過ぎでしょう。代わりに、単純な文字列分割を使用できます。
String dn = ((X509Certificate) certificate).getIssuerDN().getName();
String CN = getValByAttributeTypeFromIssuerDN(dn,"CN=");
private String getValByAttributeTypeFromIssuerDN(String dn, String attributeType)
{
String[] dnSplits = dn.split(",");
for (String dnSplit : dnSplits)
{
if (dnSplit.contains(attributeType))
{
String[] cnSplits = dnSplit.trim().split("=");
if(cnSplits[1]!= null)
{
return cnSplits[1].trim();
}
}
}
return "";
}
X500NameはJDKの内部実装ですが、リフレクションを使用できます。
public String getCN(String formatedDN) throws Exception{
Class<?> x500NameClzz = Class.forName("sun.security.x509.X500Name");
Constructor<?> constructor = x500NameClzz.getConstructor(String.class);
Object x500NameInst = constructor.newInstance(formatedDN);
Method method = x500NameClzz.getMethod("getCommonName", null);
return (String)method.invoke(x500NameInst, null);
}
BCにより、抽出がはるかに簡単になりました。
X500Principal principal = x509Certificate.getSubjectX500Principal();
X500Name x500name = new X500Name(principal.getName());
String cn = x500name.getCommonName();
sun.security.x509.X500Name-数年前に指摘された他の回答が文書化されておらず、信頼できないものですか?
org.bouncycastle.asn1.x500.X500Nameそのメソッドを示さないクラスのJavaDocをリンクしました…
複数値属性の場合-LDAPAPIを使用...
X509Certificate testCertificate = ....
X500Principal principal = testCertificate.getSubjectX500Principal(); // return subject DN
String dn = null;
if (principal != null)
{
String value = principal.getName(); // return String representation of DN in RFC 2253
if (value != null && value.length() > 0)
{
dn = value;
}
}
if (dn != null)
{
LdapName ldapDN = new LdapName(dn);
for (Rdn rdn : ldapDN.getRdns())
{
Attributes attributes = rdn != null
? rdn.toAttributes()
: null;
Attribute attribute = attributes != null
? attributes.get("CN")
: null;
if (attribute != null)
{
NamingEnumeration<?> values = attribute.getAll();
while (values != null && values.hasMoreElements())
{
Object o = values.next();
if (o != null && o instanceof String)
{
String cnValue = (String) o;
}
}
}
}
}