如何基於Java解析國密數字證書

一、說明

隨著資訊保安的重要性日益凸顯，數字證書在各種安全通訊場景中扮演著至關重要的角色。國密演算法，作為我國自主研發的加密演算法標準，其應用也愈發廣泛。然而，在Java環境中解析使用國密演算法的數字證書時，我們可能會遇到一些挑戰。

本文主要分享如何在 Java 中解析採用 SM3WITHSM2 簽發演算法的國密數字證書。

二、問題背景

數字證書通常遵循 X.509 格式標準，而在 Java 中，我們通常使用 java.security 包下的工具來解析這些證書。但是，當證書採用了國密演算法，如 SM3WITHSM2 時，標準的 Java 庫可能無法識別這種演算法特定的橢圓曲線，因此在解析時會丟擲異常。

例如，嘗試使用以下程式碼解析一個採用國密演算法的證書時：

CertificateFactory cf = CertificateFactory.getInstance("X509");
String filePath ="C:\\Users\\example\\Desktop\\ca.crt";
FileInputStream in =new FileInputStream(filePath);
X509Certificate cer = (X509Certificate) cf.generateCertificate(in);

可能會遇到如下錯誤：

java.security.cert.CertificateParsingException: java.io.IOException: Unknown named curve: 1.2.156.10197.1.301

這個錯誤表明 Java 標準庫無法識別國密演算法使用的橢圓曲線。

三、解決方案

為了解決這個問題，我們需要藉助 BouncyCastle 這個強大的加密庫，它提供了對多種加密演算法的支援，包括國密演算法。

步驟 1：新增BouncyCastle依賴

首先，需要將 BouncyCastle 庫新增到專案中，在 pom.xml 中新增以下依賴：

<dependency>
		<groupId>org.bouncycastle</groupId>
		<artifactId>bcprov-jdk15on</artifactId>
		<version>1.62</version>
</dependency>

步驟 2：修改程式碼以使用BouncyCastle

接下來需要修改程式碼，以便在解析證書時使用 BouncyCastle 提供者：

// 引入BC庫
Security.addProvider(new BouncyCastleProvider());
// 使用BC解析X.509證書
CertificateFactory cf = CertificateFactory.getInstance("X509", "BC");

完整的測試程式碼如下：

import org.bouncycastle.jce.provider.BouncyCastleProvider;  
import java.security.Security;  
import java.security.cert.CertificateFactory;  
import java.security.cert.X509Certificate;  
import java.io.FileInputStream;  
  
public class SMCertificateParser {  
    public static void main(String[] args) {  
        try {  
            // 註冊BouncyCastle提供者  
            Security.addProvider(new BouncyCastleProvider());  
              
            // 使用BouncyCastle提供者解析X.509證書  
            CertificateFactory cf = CertificateFactory.getInstance("X509", "BC");  
            String filePath = "C:\\Users\\example\\Desktop\\ca.crt";  
            FileInputStream in = new FileInputStream(filePath);  
            X509Certificate cer = (X509Certificate) cf.generateCertificate(in);  
              
            // 列印證書資訊  
            System.out.println("版本號：" + cer.getVersion());  
            System.out.println("序列號：" + cer.getSerialNumber().toString());  
            System.out.println("有效期：from：" + cer.getNotBefore() + "  to: " + cer.getNotAfter());  
            System.out.println("簽發演算法：" + cer.getSigAlgName());  
            System.out.println("簽發演算法ID：" + cer.getSigAlgOID());  
              
            in.close();  
        } catch (Exception e) {  
            e.printStackTrace();  
        }  
    }  
}

執行程式後，輸出以下資訊：

版本號：3
序列號：228766466093659650410797181222534438848
有效期：from：Mon Mar 13 17:31:00 CST 2023  to: Mon Feb 23 17:31:00 CST 2093
簽發演算法：SM3WITHSM2
簽發演算法ID：1.2.156.10197.1.501

四、結論

透過引入 BouncyCastle 庫並修改程式碼以使用該庫，我們現在能夠成功解析採用國密 SM3WITHSM2 演算法的數字證書。這一解決方案不僅限於 SM3WITHSM2 還適用於其他國密演算法或任何非標準演算法，只要 BouncyCastle 庫支援這些演算法。

掃碼關注有驚喜！