证书颁发者的唯一标识符（X509Name）

Question

在我的应用程序中，我使用颁发者名称的 sha256 (x509CertImpl.getIssuerDN().getName()) 和证书序列号来唯一标识证书，但现在我已经意识到 X509Name 的其他实现作为 Bouncy 的实现当我调用 bcX509Name.getName() 时，Castle 库显示不同的内容，因此该标识符对我不起作用...我的问题是如何获得一个唯一标识符X509Name...也许两者的 ASN.1 或 DER 编码表示形式是相同的。

Answer 1

从问题中尚不清楚您是否使用的是 java.security.cert.X509Certificate，还是某些不使用 JCA 接口的 Bouncy Castle 类。

无论如何，应该有一个方法返回代表颁发者 X.500 名称的对象。该对象应该有一个方法，以字节数组的形式返回名称的 ASN.1 编码。使用它作为密钥的组成部分。

如果您使用标准 X509Certificate< /code>或 Bouncy Castle 的 X509CertificateObject,使用类似的东西（如果您没有使用这些类之一，请更具体）：

X509Certificate x = ...;
byte[] issuer = x.getIssuerX500Principal().getEncoded();

Answer 2

IssuerDN 是一个复杂的结构，不同的库可能有不同的将其“序列化”为字符串的机制。因此，您可能需要重新考虑您的方法。一般来说，使用证书本身的哈希值（整体）+序列号比较（使冲突的可能性几乎为0）就可以了。