通过 CLI 根据 Java 证书存储验证证书

Question

如何通过命令行根据 Java 证书存储验证 X509（或 DER 格式）证书？

我研究过使用 keytool 实用程序，但它看起来只处理导入/导出/显示功能（无验证）。

编辑：看起来好像 keytool 可用于验证，但前提是尝试导入。 我认为提出这个问题的更好方法是是否可以使用更被动的方法（例如：不修改密钥库）。 谢谢！

Answer 1

您可以使用 keytool 将所需的证书（位于您需要验证的证书链中的证书）从 Java 密钥库导出 到 X.509 文件中。 然后，将它们连接到一个文件中。 最后使用openssl进行验证。

openssl verify -CAfile concatenated-certs.crt cert-to-verify.crt

这不是一个完美的解决方案，因为它涉及从信任库中弹出证书，但考虑到您的开始，它应该可以工作。

Answer 2

此页面可能过于简单化：

http://java.sun。 com/docs/books/tutorial/security/toolfilex/rstep1.html

但看起来即使使用 keytool 导入也无法真正验证证书。 我没有看到任何关于根据另一个受信任证书的签名验证传入证书的签名的描述。

jarsigner 将验证已签名 jar 上的签名，但不会执行任何操作来验证用于签署 jar 的证书上的签名。

恐怕您要么必须编写一个工具来进行验证，要么寻找一个可以完成验证的商业工具。 我认为某些 PKI 工具包会有一个证书验证工具可以做到这一点。