Comment extraire CN de X509Certificate en Java?
J'utilise un SslServerSocket et des certificats client et je veux extraire le CN du SubjectDN du X509Certificate du client.
Pour le moment, j'appelle cert.getSubjectX500Principal().getName() mais cela me donne bien sûr le DN formaté total du client. Pour une raison quelconque, je suis simplement intéressé par la partie CN=theclient du DN. Existe-t-il un moyen d'extraire cette partie du DN sans analyser la chaîne moi-même?
16 answers
Voici du code pour la nouvelle API BouncyCastle non obsolète. Vous aurez besoin des distributions bcmail et bcprov.
X509Certificate cert = ...;
X500Name x500name = new JcaX509CertificateHolder(cert).getSubject();
RDN cn = x500name.getRDNs(BCStyle.CN)[0];
return IETFUtils.valueToString(cn.getFirst().getValue());
Voici une autre façon. l'idée est que le DN que vous obtenez est au format rfc2253, qui est le même que celui utilisé pour le DN LDAP. Alors pourquoi ne pas réutiliser l'API LDAP?
import javax.naming.ldap.LdapName;
import javax.naming.ldap.Rdn;
String dn = x509cert.getSubjectX500Principal().getName();
LdapName ldapDN = new LdapName(dn);
for(Rdn rdn: ldapDN.getRdns()) {
System.out.println(rdn.getType() + " -> " + rdn.getValue());
}
Si l'ajout de dépendances n'est pas un problème, vous pouvez le faire avec L'API de Bouncy Castle pour travailler avec les certificats X. 509:
import org.bouncycastle.asn1.x509.X509Name;
import org.bouncycastle.jce.PrincipalUtil;
import org.bouncycastle.jce.X509Principal;
...
final X509Principal principal = PrincipalUtil.getSubjectX509Principal(cert);
final Vector<?> values = principal.getValues(X509Name.CN);
final String cn = (String) values.get(0);
Mise à Jour
Au moment de cette publication, c'était la façon de le faire. Comme gtrak le mentionne dans les commentaires, cette approche est maintenant obsolète. Voir le code mis à jour de gtrak qui utilise la nouvelle API Bouncy Castle.
Comme alternative au code de gtrak qui n'a pas besoin de "bcmail":
X509Certificate cert = ...;
X500Principal principal = cert.getSubjectX500Principal();
X500Name x500name = new X500Name( principal.getName() );
RDN cn = x500name.getRDNs(BCStyle.CN)[0]);
return IETFUtils.valueToString(cn.getFirst().getValue());
@Jakub: J'ai utilisé votre solution jusqu'à ce que mon SW soit exécuté sur Android. Et Android n'implémente pas javax.nommer.ldap:- (
Une ligne avec http://www.cryptacular.org
CertUtil.subjectCN(certificate);
Dépendance Maven:
<dependency>
<groupId>org.cryptacular</groupId>
<artifactId>cryptacular</artifactId>
<version>1.1.0</version>
</dependency>
J'ai BouncyCastle 1.49, et la classe qu'il a maintenant est org.bouncycastle.asn1.x509.Certificat. J'ai regardé dans le code de IETFUtils.valueToString() - il fait un peu de fantaisie s'échapper avec des barres obliques inverses. Pour un nom de domaine, cela ne ferait rien de mal, mais je pense que nous pouvons faire mieux. Dans les cas où j'ai regardé cn.getFirst().getValue() renvoie différents types de chaînes qui implémentent toutes l'interface ASN1String, qui est là pour fournir une méthode getString (). Donc, ce qui semble fonctionner pour moi est
Certificate c = ...;
RDN cn = c.getSubject().getRDNs(BCStyle.CN)[0];
return ((ASN1String)cn.getFirst().getValue()).getString();
Toutes les réponses publiées jusqu'à présent ont un problème: La plupart utilisent la dépendance interne X500Name ou externe Bounty Castle. Ce qui suit s'appuie sur la réponse de @Jakub et n'utilise que l'API JDK publique, mais extrait également le CN comme demandé par l'OP. Il utilise également Java 8, qui à la mi-2017, vous devriez vraiment.
Stream.of(certificate)
.map(cert -> cert.getSubjectX500Principal().getName())
.flatMap(name -> {
try {
return new LdapName(name).getRdns().stream()
.filter(rdn -> rdn.getType().equalsIgnoreCase("cn"))
.map(rdn -> rdn.getValue().toString());
} catch (InvalidNameException e) {
log.warn("Failed to get certificate CN.", e);
return Stream.empty();
}
})
.collect(joining(", "))
En effet, grâce à gtrak il semble que pour obtenir le certificat client et extraire le CN, cela fonctionne très probablement.
X509Certificate[] certs = (X509Certificate[]) httpServletRequest
.getAttribute("javax.servlet.request.X509Certificate");
X509Certificate cert = certs[0];
X509CertificateHolder x509CertificateHolder = new X509CertificateHolder(cert.getEncoded());
X500Name x500Name = x509CertificateHolder.getSubject();
RDN[] rdns = x500Name.getRDNs(BCStyle.CN);
RDN rdn = rdns[0];
String name = IETFUtils.valueToString(rdn.getFirst().getValue());
return name;
Pourrait utiliser cryptacular qui est une bibliothèque cryptographique Java construite sur bouncycastle pour une utilisation facile.
RDNSequence dn = new NameReader(cert).readSubject();
return dn.getValue(StandardAttributeType.CommonName);
MISE À JOUR: Cette classe est dans le package "sun" et vous devez l'utiliser avec prudence. Merci Emil pour le commentaire:)
Je voulais juste partager, pour obtenir le CN, je fais:
X500Name.asX500Name(cert.getSubjectX500Principal()).getCommonName();
En ce Qui Concerne le commentaire d'Emil Lundberg, voir: Pourquoi Les Développeurs Ne Devraient Pas Écrire De Programmes Qui Appellent Des Paquets ' sun '
Récupérer le CN à partir du certificat n'est pas si simple. Le code ci-dessous va certainement vous aider.
String certificateURL = "C://XYZ.cer"; //just pass location
CertificateFactory cf = CertificateFactory.getInstance("X.509");
X509Certificate testCertificate = (X509Certificate)cf.generateCertificate(new FileInputStream(certificateURL));
String certificateName = X500Name.asX500Name((new X509CertImpl(testCertificate.getEncoded()).getSubjectX500Principal())).getCommonName();
Voici comment le faire en utilisant une expression régulière sur cert.getSubjectX500Principal().getName(), au cas où vous ne voudriez pas prendre une dépendance sur BouncyCastle.
Cette expression régulière analysera un nom distingué, donnant name et val un groupe de capture pour chaque correspondance.
Lorsque les chaînes DN contiennent des virgules , elles sont censées être entre guillemets-cette expression régulière gère correctement les chaînes entre guillemets et sans guillemets, et gère également les guillemets échappés dans les chaînes entre guillemets:
(?:^|,\s?)(?:(?<name>[A-Z]+)=(?<val>"(?:[^"]|"")+"|[^,]+))+
Voici est bien formaté:
(?:^|,\s?)
(?:
(?<name>[A-Z]+)=
(?<val>"(?:[^"]|"")+"|[^,]+)
)+
Voici un lien afin que vous puissiez le voir en action: https://regex101.com/r/zfZX3f/2
Si vous voulez qu'une expression régulière obtienne uniquement le CN, alors cette version adaptée le fera:
(?:^|,\s?)(?:CN=(?<val>"(?:[^"]|"")+"|[^,]+))
X500Name est une implémentation interne de JDK, mais vous pouvez utiliser la réflexion.
public String getCN(String formatedDN) throws Exception{
Class<?> x500NameClzz = Class.forName("sun.security.x509.X500Name");
Constructor<?> constructor = x500NameClzz.getConstructor(String.class);
Object x500NameInst = constructor.newInstance(formatedDN);
Method method = x500NameClzz.getMethod("getCommonName", null);
return (String)method.invoke(x500NameInst, null);
}
Vous pouvez essayer d'utiliser getName(X500Principal.RFC2253, oidMap) ou getName(X500Principal.CANONICAL, oidMap) pour voir lequel formate le mieux la chaîne DN. Peut-être que l'une des valeurs de la carte oidMap sera la chaîne que vous voulez.
BC a rendu l'extraction beaucoup plus facile:
X500Principal principal = x509Certificate.getSubjectX500Principal();
X500Name x500name = new X500Name(principal.getName());
String cn = x500name.getCommonName();
Expressions Regex, sont plutôt coûteux à utiliser. Pour une tâche aussi simple, ce sera probablement un meurtre. Au lieu de cela, vous pouvez utiliser une simple chaîne divisée:
String dn = ((X509Certificate) certificate).getIssuerDN().getName();
String CN = getValByAttributeTypeFromIssuerDN(dn,"CN=");
private String getValByAttributeTypeFromIssuerDN(String dn, String attributeType)
{
String[] dnSplits = dn.split(",");
for (String dnSplit : dnSplits)
{
if (dnSplit.contains(attributeType))
{
String[] cnSplits = dnSplit.trim().split("=");
if(cnSplits[1]!= null)
{
return cnSplits[1].trim();
}
}
}
return "";
}