尝试使用以下内容读取 PEM 格式的 PKCS8 私钥:
private static PrivateKey loadPrivateKey()
throws IOException, GeneralSecurityException, OperatorCreationException, PKCSException {
FileReader fileReader = new FileReader(certsRoot + "/pep-client-key.pem");
PEMParser keyReader = new PEMParser(fileReader);
JcaPEMKeyConverter converter = new JcaPEMKeyConverter();
InputDecryptorProvider decryptionProv = new JceOpenSSLPKCS8DecryptorProviderBuilder().build("mypassword".toCharArray());
Object keyPair = keyReader.readObject();
PrivateKeyInfo keyInfo;
if (keyPair instanceof PKCS8EncryptedPrivateKeyInfo) {
keyInfo = ((PKCS8EncryptedPrivateKeyInfo) keyPair).decryptPrivateKeyInfo(decryptionProv); // Exception thrown from here
keyReader.close();
return converter.getPrivateKey(keyInfo);
}
return null;
}
生成此错误:
org.bouncycastle.pkcs.PKCSException: unable to read encrypted data: 1.2.840.113549.1.5.13 not available: Cannot find any provider supporting 1.2.840.113549.3.7
at org.bouncycastle.pkcs.PKCS8EncryptedPrivateKeyInfo.decryptPrivateKeyInfo(Unknown Source)
我已经使用 OpenSSL 检查文件是否可以作为 PKCS8 PEM 处理,并提供密码。
有什么想法吗?我不介意是否有不涉及 BouncyCaSTLe 库的解决方案。
最佳答案
1.2.840.113549.3.7 是 PKCS5 = rfc2898 sec B.2.2 中 DES-EDE3-CBC-Pad(在 PBES2 中)的 OID . (1.2.840.113549.1.5.13 是所有 PBES2 变体的“外部”OID。)
Sun-now-Oracle (默认)供应商确实支持带有 CBC 和 PKCS5/7 填充的 DES-EDE3 算法(也称为 TripleDES 或 TDEA 键控选项 1),但没有这个 OID 映射。 BouncyCaSTLe 提供程序确实有映射,因此如果您将 BC 提供程序用于此操作,它应该可以工作。这是可以做到的
- 通过配置所有 JVM
security.provider.<i>在JRE/lib/security/java.security(更新:在 j9+JRE/conf/security/java.security中)或 - 用于 JVM by
java.lang.security.Provider.addProvider (new BouncyCastleProvider())或 - 为此操作添加
.setProvider()将 BC 提供商的名称或对象添加到您的JceOpenSSLPKCS8DecryptorProviderBuilder调用
注意 TripleDES 的 BC 似乎需要在 j8u151 以下的 Oracle Java 上使用“无限强度策略”;见Cannot open PKCS12 store because of password和 InvalidKeyException Illegal key size和许多其他骗局。
关于java - 读取 PEM 格式的 PKCS8 : Cannot find provider,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46767281/