迹忆客 专注技术分享

X.509 是定义公钥证书格式的标准。 它广泛用于 SSL/TLS 证书中，以保护在线通信、数字签名和加密。

本文将教我们如何使用 Java 创建 X.509 证书。

要求：

1. Java 开发工具包 (JDK)
2. 用于 Java 的 Bouncy Castle 加密 API

使用 Java 创建 X.509 证书的步骤

• 下载 Bouncy Castle 加密 API

  Bouncy Castle Crypto API 是加密算法的 Java 实现。 它提供了一组轻量级加密 API，可用于开发支持安全的 Java 应用程序。

  要下载 Bouncy Castle Crypto API，请访问官方网站并下载最新版本。

• 将 Bouncy Castle Crypto API 添加到您的 Java 项目

  下载 Bouncy Castle Crypto API 后，将该库添加到您的 Java 项目中。 该库可以作为依赖项添加到您的构建系统或类路径中。

• 生成密钥对

  要创建 X.509 证书，您需要生成密钥对。 密钥对由私钥和公钥组成。

  私钥用于签署证书，公钥用于验证签名。 您可以使用 KeyPairGenerator 类在 Java 中生成密钥对。

  KeyPairGenerator keyGen = KeyPairGenerator.getInstance("RSA");
  keyGen.initialize(2048);
  KeyPair keyPair = keyGen.generateKeyPair();
  

• 创建自签名证书

  自签名证书是由其创建者而不是受信任的第三方签名的证书。 您可以使用 X509V3CertificateGenerator 类在 Java 中创建自签名证书。

  X509V3CertificateGenerator certGen = new X509V3CertificateGenerator();
  // Set the subject DN
  X500Principal dnName = new X500Principal("CN=Example");
  certGen.setSubjectDN(dnName);
  // Set the issuer DN
  certGen.setIssuerDN(dnName);
  // Set the public key
  certGen.setPublicKey(keyPair.getPublic());
  // Set the validity period
  certGen.setNotBefore(new Date(System.currentTimeMillis() - 1000L * 60 * 60 * 24 * 30));
  certGen.setNotAfter(new Date(System.currentTimeMillis() + 1000L * 60 * 60 * 24 * 365 * 10));
  // Set the signature algorithm
  certGen.setSignatureAlgorithm("SHA256WithRSAEncryption");
  // Generate the certificate
  X509Certificate cert = certGen.generate(keyPair.getPrivate(), "BC");
  

• 将证书保存到文件

  最后，您可以将证书保存到 PEM 格式的文件中，这是一种用于存储 X.509 证书和私钥的标准格式。

  FileOutputStream fos = new FileOutputStream("example.pem");
  fos.write("-----BEGIN CERTIFICATE-----\n".getBytes());
  fos.write(Base64.getEncoder().encode(cert.getEncoded()));
  fos.write("\n-----END CERTIFICATE-----\n".getBytes());
  fos.close();
  

注意 ：由于某些软件包的原因，此代码无法在任何在线编译器上运行。 您可以使用此示例作为项目的起点，并对其进行自定义以满足您的特定要求。

输出：