從DER解碼的字符串創建一個X509Certicate

Question

我有一個X509Certificate，我寫/打印到一個文件如下。 （我不寫編碼的字節，因爲我想讀的證書模板的內容）

X509Certificate cer = generateCertificate(); // cer is DER encoded 
writeToFile(cer.toString()); // cer.toString() converts DER to UTF/ASCII??? 

後來我想讀這個文件（以上）的字符串，並創建一個新的X509證書。

String cerStr = readCerFromFile(); // Read what is written above. In ASCII/ UTF format 
ByteArrayInputStream bais = null; 
try { 
    CertificateFactory cf = CertificateFactory.getInstance("X.509"); 
    bais = new ByteArrayInputStream(cerStr.getBytes()); 
    return (X509Certificate) cf.generateCertificate(bais); 
} ... 

這會拋出以下異常。

Java.security.cert.CertificateParsingException: Invalid DER-encoded certificate data 

很明顯，我沒有將cerStr轉換爲DER格式（我不知道是否可以轉換爲DER）。任何人都可以解釋如何從未編碼的字符串創建X509Certicate。

在此先感謝。

Answer 1

簡短的回答：你不能。 DER對太多細節進行編碼，這些細節無法輕鬆轉換爲String並從中返回。正如GregS在評論中解釋的，您最好使用cer.getEncoded()保存DER編碼證書。

如果您想查看證書的內容，只需將其保存爲您的操作系統可識別的文件擴展名並雙擊即可。如果你想有一個打印純文本信息的命令行方法，例如openssl：

openssl x509 -text -noout -inform DER -in mycertificate.crt 

這是在許多Unix版本（Linux，Apple）中包含或可選的標準，也可以在Windows上運行。

Answer 2

以原始數據cert.getEncoded()（在.Net中爲）作爲原始數據時，它以DER格式編碼。非正式地說，它只是證書的一個特殊的二進制表示。

但存在良好的證書字符串表示形式。您可以將DER中的原始證書表示轉換爲Base64格式的字符串。我不知道JAVA，所以在.Net它看起來像這樣Convert.ToBase64dString(cert.RawData)。

可以保存兩種格式的證書文件與.CER或.CRT推廣和使用非標準OS證書查看器中打開它。

Answer 3

一個可憐的男人的答案（我非常較低的水平）

//創建PFX字節流... 的byte []自簽名= CertificateCreator.CreateSelfSignCertificatePfx（distinguishedName來， 新的日期時間（2013年4 ，1）， new DateTime（2013，12，31）， insecurePassword）;

//創建證書實例 X509Certificate2 cert = new X509Certificate2（selfSigned，insecurePassword）;

// export as .cer [DER] selfSigned = cert.Export（X509ContentType.Cert）;

//寫入文件.. System.IO.File.WriteAllBytes（certificateFilename +「。CER「），自署名）;

Answer 4

在Java中，你可以做

String sCert = javax.xml.bind.DatatypeConverter.printBase64Binary(certificate.getEncoded()); 

在.NET中

Convert.ToBase64String(Certificate.RawData);