Java SSL使用Openssl ECC加密生成证书遇到的坑

NN9552024-10-11 14:38

之前一致使用传统的RSA加密方式生成的证书,网络也很好找资料没啥问题。但是切换到ECC加密后遇到各种问题,网上关于ECC加密证书的相关内容比较少。记录一下

1.确认Java版本是否支持ECC加解密算法

2.证书私钥无法解析

证书格式PEM的可以直接打开查看到文本内容这样的:

bash 复制代码 
-----BEGIN PRIVATE KEY-----
MIGEAgEAMBAGByqGSM49AgEGBSuBBAAKBG0wawIBAQQgQ3w1tYqM23IWEBlIJRNA
/s9297Kt30Cn3eFkkWbUitKhRANCAARPu3+IOeXERFQY0jEU2i5gd79LieyxPU4x
a9uB274kutATCn0hX0OXBwKeZ8/OKnmEy61zGWtbtWLaxRnSkDeg
-----END PRIVATE KEY-----

之前RSA私钥读取直接使用PEMParser即可:

java 复制代码 
PEMParser pemParser = new PEMParser(new FileReader(keyFile));
            Object object = pemParser.readObject();
            JcaPEMKeyConverter converter = new JcaPEMKeyConverter().setProvider("BC");
            KeyPair key = converter.getKeyPair((PEMKeyPair) object);
            PrivateKey pk = key.getPrivate();
            pemParser.close();

换成ECC的无法加载,需要使用PKCS8EncodedKeySpec:

java 复制代码 
 String keyString = "MIGEAgEAMBAGByqGSM49AgEGBSuBBAAKBG0wawIBAQQgQ3w1tYqM23IWEBlIJRNA" +
                "/s9297Kt30Cn3eFkkWbUitKhRANCAARPu3+IOeXERFQY0jEU2i5gd79LieyxPU4x" +
                "a9uB274kutATCn0hX0OXBwKeZ8/OKnmEy61zGWtbtWLaxRnSkDeg";
        byte[] keyBytes = Base64.getDecoder().decode(keyString);
        PKCS8EncodedKeySpec keySpec = new PKCS8EncodedKeySpec(keyBytes, "secp256k1");
        KeyFactory keyFactory = KeyFactory.getInstance("EC");
        PrivateKey pk = keyFactory.generatePrivate(keySpec);

secp256k1曲线加密算法根据实际情况调整即可

有些OpenSSL的版本不同导致生成的ECC私钥格式不一样,可能是SEC1格式的,Java默认只支持PKCS8格式。这里有2种解决方法:(1)做格式转换。转换命令:

bash 复制代码 
openssl pkcs8 -topk8 -in client.key -out client3.key -nocrypt

参考文章: Java 读取private Key - 简书 也可以使用文章中直接读取SEC格式的方法

(2)自定义读取SEC格式方法:

java 复制代码 
 byte[] keyBytes = Base64.getDecoder().decode(keyString);
        ASN1Sequence seq = ASN1Sequence.getInstance(keyBytes);
        org.bouncycastle.asn1.sec.ECPrivateKey pKey = org.bouncycastle.asn1.sec.ECPrivateKey.getInstance(seq);
        AlgorithmIdentifier algId = new AlgorithmIdentifier(X9ObjectIdentifiers.id_ecPublicKey, pKey.getParameters());
        byte[] server_pkcs8 = new PrivateKeyInfo(algId, pKey).getEncoded();
        KeyFactory fact = KeyFactory.getInstance ("EC");
        PrivateKey pkey = fact.generatePrivate (new PKCS8EncodedKeySpec(server_pkcs8));

3.测试环境证书可能指定了主机IP地址,请使用证书内配置好的IP建链!127.0.0.1可能拒绝连接、

4.查看Java握手日志方法:在启动参数加上 -Djavax.net.debug=all

bash 复制代码 
-Xms128m -Xmx1024m -XX:+HeapDumpOnOutOfMemoryError -XX:HeapDumpPath="%RUNHOME%dumps" -Djavax.net.debug=all
相关推荐
明 庭8 分钟前
在 Ubuntu 下通过 Docker 部署 PSQL 服务器
服务器·ubuntu·docker
L~river9 分钟前
解决vscode ssh远程连接服务器一直卡在下载 vscode server问题
服务器·vscode·ssh
taiguolaotu9 分钟前
java 根据路径下载文件转换为MultipartFile,并且上传到服务器
java·服务器·开发语言
obboda11 分钟前
RHCE-第六章:DNS域名解析服务器
运维·服务器
网络安全Max12 分钟前
Debian 10上使用UFW设置防火墙
linux·服务器·debian
龙少954329 分钟前
【Http,Netty,Socket,WebSocket的应用场景和区别】
java·后端·websocket·网络协议·http
Say-hai1 小时前
nginx-rtmp服务器搭建
服务器·nginx·音视频
helloasimo1 小时前
如何重新设置VSCode的密钥环密码?
linux·运维·服务器
奔跑草-1 小时前
【服务器】MyBatis是如何在java中使用并进行分页的?
java·服务器·mybatis
小林熬夜学编程2 小时前
【Linux网络编程】第十三弹---构建HTTP响应与请求处理系统:从HttpResponse到HttpServer的实战
linux·运维·服务器·c语言·网络·c++·http
热门推荐
01基于大语言模型(LLM)的合成数据生成、策展和评估的综述02HCIA-datacom数通题库和录播视频资料03玄机平台应急响应—webshell查杀04【华东南AWDP】第十七届全国大学生信息安全竞赛 CISCN 2024 创新实践能力赛区域赛 部分题解WP05YOLOv8训练好模型后,追加轮数继续训练、或者提前终止训练,缩减训练轮数06(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明07ARM学习(31)编译器对overlay方式的支持08校验 GPT-4 真实性的三个经典问题:快速区分 GPT-3.5 与 GPT-4,并提供免费测试网站09Docker 夺命连环 15 问10VSCode插件 —— Cody AI (免费AI助手!)