Java SSL使用Openssl ECC加密生成证书遇到的坑

NN9552024-10-11 14:38

之前一致使用传统的RSA加密方式生成的证书,网络也很好找资料没啥问题。但是切换到ECC加密后遇到各种问题,网上关于ECC加密证书的相关内容比较少。记录一下

1.确认Java版本是否支持ECC加解密算法

2.证书私钥无法解析

证书格式PEM的可以直接打开查看到文本内容这样的:

bash 复制代码 
-----BEGIN PRIVATE KEY-----
MIGEAgEAMBAGByqGSM49AgEGBSuBBAAKBG0wawIBAQQgQ3w1tYqM23IWEBlIJRNA
/s9297Kt30Cn3eFkkWbUitKhRANCAARPu3+IOeXERFQY0jEU2i5gd79LieyxPU4x
a9uB274kutATCn0hX0OXBwKeZ8/OKnmEy61zGWtbtWLaxRnSkDeg
-----END PRIVATE KEY-----

之前RSA私钥读取直接使用PEMParser即可:

java 复制代码 
PEMParser pemParser = new PEMParser(new FileReader(keyFile));
            Object object = pemParser.readObject();
            JcaPEMKeyConverter converter = new JcaPEMKeyConverter().setProvider("BC");
            KeyPair key = converter.getKeyPair((PEMKeyPair) object);
            PrivateKey pk = key.getPrivate();
            pemParser.close();

换成ECC的无法加载,需要使用PKCS8EncodedKeySpec:

java 复制代码 
 String keyString = "MIGEAgEAMBAGByqGSM49AgEGBSuBBAAKBG0wawIBAQQgQ3w1tYqM23IWEBlIJRNA" +
                "/s9297Kt30Cn3eFkkWbUitKhRANCAARPu3+IOeXERFQY0jEU2i5gd79LieyxPU4x" +
                "a9uB274kutATCn0hX0OXBwKeZ8/OKnmEy61zGWtbtWLaxRnSkDeg";
        byte[] keyBytes = Base64.getDecoder().decode(keyString);
        PKCS8EncodedKeySpec keySpec = new PKCS8EncodedKeySpec(keyBytes, "secp256k1");
        KeyFactory keyFactory = KeyFactory.getInstance("EC");
        PrivateKey pk = keyFactory.generatePrivate(keySpec);

secp256k1曲线加密算法根据实际情况调整即可

有些OpenSSL的版本不同导致生成的ECC私钥格式不一样,可能是SEC1格式的,Java默认只支持PKCS8格式。这里有2种解决方法:(1)做格式转换。转换命令:

bash 复制代码 
openssl pkcs8 -topk8 -in client.key -out client3.key -nocrypt

参考文章: Java 读取private Key - 简书 也可以使用文章中直接读取SEC格式的方法

(2)自定义读取SEC格式方法:

java 复制代码 
 byte[] keyBytes = Base64.getDecoder().decode(keyString);
        ASN1Sequence seq = ASN1Sequence.getInstance(keyBytes);
        org.bouncycastle.asn1.sec.ECPrivateKey pKey = org.bouncycastle.asn1.sec.ECPrivateKey.getInstance(seq);
        AlgorithmIdentifier algId = new AlgorithmIdentifier(X9ObjectIdentifiers.id_ecPublicKey, pKey.getParameters());
        byte[] server_pkcs8 = new PrivateKeyInfo(algId, pKey).getEncoded();
        KeyFactory fact = KeyFactory.getInstance ("EC");
        PrivateKey pkey = fact.generatePrivate (new PKCS8EncodedKeySpec(server_pkcs8));

3.测试环境证书可能指定了主机IP地址,请使用证书内配置好的IP建链!127.0.0.1可能拒绝连接、

4.查看Java握手日志方法:在启动参数加上 -Djavax.net.debug=all

bash 复制代码 
-Xms128m -Xmx1024m -XX:+HeapDumpOnOutOfMemoryError -XX:HeapDumpPath="%RUNHOME%dumps" -Djavax.net.debug=all
相关推荐
SEO-狼术4 小时前
Support Network Diagnostics in .NET
运维·服务器·网络
AI周红伟4 小时前
AI自动盯盘与定时行情分析:OpenClaw股票辅助Agent集成完整使用指南-周红伟
运维·服务器·人工智能·音视频·火山引擎
SPC的存折5 小时前
8、Ansible之Playbook---Roles
linux·服务器·ansible
爱学习的小囧5 小时前
VCF 9.0+Harbor 搭建私有 AI 模型仓库(PAIS)超详细教程
服务器·人工智能·虚拟化·esxi8.0
春日见6 小时前
Tool文件夹:瑞士军刀库
运维·服务器·windows·深度学习·自动驾驶
Gofarlic_OMS6 小时前
SolidEdge专业许可证管理工具选型关键评估标准
java·大数据·运维·服务器·人工智能
网工养成记_121387 小时前
网络故障排查日常记录
网络·网络协议
萝卜白菜。7 小时前
TongWeb7.0 集中管理heimdall配置文件说明
linux·运维·服务器
ji_shuke8 小时前
CloudFront 跨域问题(CORS)的几种解决方式
服务器·cloudfront
Days20508 小时前
关于SSL证书签发时长调整通知
网络协议·https·ssl
热门推荐
01GitHub 镜像站点02Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)032026年3月AI领域大事件:DeepSeek引领开源风暴04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05Mac 本地部署 OMLX + 通义千问 Qwen3.5-27B 保姆级教程06UV安装并设置国内源07黄金未来走势预测08AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南09让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南10纯 HTML/CSS/JS 实现的高颜值登录页,还会眨眼睛!少女心爆棚!