Java SSL使用Openssl ECC加密生成证书遇到的坑

NN9552024-10-11 14:38

之前一致使用传统的RSA加密方式生成的证书,网络也很好找资料没啥问题。但是切换到ECC加密后遇到各种问题,网上关于ECC加密证书的相关内容比较少。记录一下

1.确认Java版本是否支持ECC加解密算法

2.证书私钥无法解析

证书格式PEM的可以直接打开查看到文本内容这样的:

bash 复制代码 
-----BEGIN PRIVATE KEY-----
MIGEAgEAMBAGByqGSM49AgEGBSuBBAAKBG0wawIBAQQgQ3w1tYqM23IWEBlIJRNA
/s9297Kt30Cn3eFkkWbUitKhRANCAARPu3+IOeXERFQY0jEU2i5gd79LieyxPU4x
a9uB274kutATCn0hX0OXBwKeZ8/OKnmEy61zGWtbtWLaxRnSkDeg
-----END PRIVATE KEY-----

之前RSA私钥读取直接使用PEMParser即可:

java 复制代码 
PEMParser pemParser = new PEMParser(new FileReader(keyFile));
            Object object = pemParser.readObject();
            JcaPEMKeyConverter converter = new JcaPEMKeyConverter().setProvider("BC");
            KeyPair key = converter.getKeyPair((PEMKeyPair) object);
            PrivateKey pk = key.getPrivate();
            pemParser.close();

换成ECC的无法加载,需要使用PKCS8EncodedKeySpec:

java 复制代码 
 String keyString = "MIGEAgEAMBAGByqGSM49AgEGBSuBBAAKBG0wawIBAQQgQ3w1tYqM23IWEBlIJRNA" +
                "/s9297Kt30Cn3eFkkWbUitKhRANCAARPu3+IOeXERFQY0jEU2i5gd79LieyxPU4x" +
                "a9uB274kutATCn0hX0OXBwKeZ8/OKnmEy61zGWtbtWLaxRnSkDeg";
        byte[] keyBytes = Base64.getDecoder().decode(keyString);
        PKCS8EncodedKeySpec keySpec = new PKCS8EncodedKeySpec(keyBytes, "secp256k1");
        KeyFactory keyFactory = KeyFactory.getInstance("EC");
        PrivateKey pk = keyFactory.generatePrivate(keySpec);

secp256k1曲线加密算法根据实际情况调整即可

有些OpenSSL的版本不同导致生成的ECC私钥格式不一样,可能是SEC1格式的,Java默认只支持PKCS8格式。这里有2种解决方法:(1)做格式转换。转换命令:

bash 复制代码 
openssl pkcs8 -topk8 -in client.key -out client3.key -nocrypt

参考文章: Java 读取private Key - 简书 也可以使用文章中直接读取SEC格式的方法

(2)自定义读取SEC格式方法:

java 复制代码 
 byte[] keyBytes = Base64.getDecoder().decode(keyString);
        ASN1Sequence seq = ASN1Sequence.getInstance(keyBytes);
        org.bouncycastle.asn1.sec.ECPrivateKey pKey = org.bouncycastle.asn1.sec.ECPrivateKey.getInstance(seq);
        AlgorithmIdentifier algId = new AlgorithmIdentifier(X9ObjectIdentifiers.id_ecPublicKey, pKey.getParameters());
        byte[] server_pkcs8 = new PrivateKeyInfo(algId, pKey).getEncoded();
        KeyFactory fact = KeyFactory.getInstance ("EC");
        PrivateKey pkey = fact.generatePrivate (new PKCS8EncodedKeySpec(server_pkcs8));

3.测试环境证书可能指定了主机IP地址,请使用证书内配置好的IP建链!127.0.0.1可能拒绝连接、

4.查看Java握手日志方法:在启动参数加上 -Djavax.net.debug=all

bash 复制代码 
-Xms128m -Xmx1024m -XX:+HeapDumpOnOutOfMemoryError -XX:HeapDumpPath="%RUNHOME%dumps" -Djavax.net.debug=all
相关推荐
ᴡᴀᴋᴜ⌓‿⌓ᴡᴀᴋᴜ11 分钟前
手动在Linux服务器上部署并运行SpringBoot项目(新手向)
linux·服务器·spring boot·后端
小安运维日记27 分钟前
Linux云计算 |【第四阶段】RDBMS2-DAY3
linux·运维·服务器·数据库·mysql·云计算
亿林网络数据1 小时前
Linux常用应急溯源命令
linux·运维·服务器
阿猿收手吧!1 小时前
【Linux复习】指令
linux·运维·服务器
飞的肖1 小时前
MobaXterm(linux)远程运维工具使用说明
linux·运维·服务器
penny_tcf1 小时前
Linux基础命令netstat详解
linux·运维·服务器
IT农民工~1 小时前
《网络基础之 HTTP 协议:状态码含义全解析》
服务器·前端·网络·python·网络协议·http
迷途白泽1 小时前
网络协议——IP协议
笔记·网络协议·计算机网络
电脑菜鸡2 小时前
第五章 OSPF 基础与单区域配置
运维·服务器·网络
Android系统攻城狮3 小时前
Linux之实战命令22:chattr应用实例(五十六)
linux·运维·服务器
热门推荐
01【经验分享】Ubuntu22.04安装微信(linux官方版)02组基轨迹建模 GBTM的介绍与实现(Stata 或 R)03RAG 实践- Ollama+RagFlow 部署本地知识库04【C语言】逗号运算符详解 - 《不起眼的 “逗号”》05苍穹外卖面试总结06yolov8实战第五天——yolov8+ffmpg实时视频流检测并进行实时推流——(推流,保姆教学)07使用本地大模型从论文PDF中提取结构化信息08海康Visionmaster-通讯管理:使用 Modbus TCP 通讯 协议与流程交互09Coze扣子平台完整体验和实践(附国内和国际版对比)106-4 数组中选择两个最小值【武汉理工大学】