java - 根据 Java 中的自定义信任列表检查证书有效性

Question

我有一份使用 CAdES 进行数字签名的文档。我使用 BouncyCaSTLe API 获取签名者的 X509Certificate[] 实例，但我们假设该列表仅包含一个元素。

我需要在今天验证此证书是否受信任，并且我不想使用通常用于信任 SSL 证书的系统标准信任库。不，我想在我的类路径中使用 .cer 文件列表构建我自己的信任列表。目前，单个 CA 是受信任的，但显然将来可能会添加更多证书。

到目前为止，我已经阅读了 this 并尝试在我的代码中实现。我不需要 SSLContext，我需要检查数字签名文档的有效性。我现在很困惑。

X509TrustManager 然而，API 仅提供验证客户端/服务器证书的方法，而我的 API 仅具有数字签名/不可否认性使用标志。

问题可以用两种方式来表达:

1. Java 中如何根据可加载到内存中的自定义根 CA 列表检查 X509Certificate 实例的有效性？
2. 如何检查数字签名文档是否使用从自定义列表的已知 CA 派生的证书签名？

Answer 1

从每个签名者的 CAdES 签名中提取签名者的证书以及作为 X509Certificate 列表的中间证书。还构建一个包含所有根 CA 证书的集合

然后你可以使用这个(稍微改编)example code使用 Java 和 BouncyCaSTLe 来验证和构建认证链。验证成功返回认证链

public PKIXCertPathBuilderResult verifyCertificateChain(
     X509Certificate cert, 
     Set<X509Certificate> trustedRootCerts,
     Set<X509Certificate> intermediateCerts) throws GeneralSecurityException {

    // Create the selector that specifies the starting certificate
    X509CertSelector selector = new X509CertSelector(); 
    selector.setCertificate(cert);

    // Create the trust anchors (set of root CA certificates)
    Set<TrustAnchor> trustAnchors = new HashSet<TrustAnchor>();
    for (X509Certificate trustedRootCert : trustedRootCerts) {
        trustAnchors.add(new TrustAnchor(trustedRootCert, null));
    }

    // Configure the PKIX certificate builder algorithm parameters
    PKIXBuilderParameters pkixParams = 
        new PKIXBuilderParameters(trustAnchors, selector);

    // Disable CRL checks (this is done manually as additional step)
    pkixParams.setRevocationEnabled(false);

    // Specify a list of intermediate certificates
    // certificate itself has to be added to the list 
    intermediateCerts.add(cert); 
    CertStore intermediateCertStore = CertStore.getInstance("Collection",
        new CollectionCertStoreParameters(intermediateCerts), "BC");
    pkixParams.addCertStore(intermediateCertStore);

    // Build and verify the certification chain
    CertPathBuilder builder = CertPathBuilder.getInstance("PKIX", "BC");
    PKIXCertPathBuilderResult result = 
        (PKIXCertPathBuilderResult) builder.build(pkixParams);
    return result;
}

如果你不想处理复杂的 CAdES，我建议使用 SD-DSS开源项目