Discussion :

[rado.rv]

Bonjour à tous,

Y-a-t-il un moyen simple pour connaitre si un certificat (java.security.cert.Certificate ou java.security.cert.X509Certificate) est un certificat d'autorité ou un certificat utilisateur ?

Je veux lister les certificats stockés dans un magasin de certificats (Windows-My pour windows et le trousseau de clés keychainstore sous MAC OS).

Un exemple de code qui charge le Keystore windows avec SunMSCAPI:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
KeyStore ks = KeyStore.getInstance("Windows-MY");
ks.load(null, null) ;
Enumeration en = ks.aliases() ;
while (en.hasMoreElements()) {
    String aliasKey = (String)en.nextElement() ;
    Certificate c = ks.getCertificate(aliasKey) ;
    System.out.println("---> alias : " + aliasKey) ;
 
     // CE QUE JE VEUX :
     if( c est un certificat autorité CA ) continue;
}

La méthode Keystore.isKeyEntry(aliasKey) permet de savoir si le certificat est un certificat enregistré avec une PrivateKey.
Cela marche bien sous windows mais pas sous Mac OS (avec le keystore chargé dans "KeychainStore" et "Apple").

Mon code doit fonctionner pour les 2 OS.

Est-ce qu'il existe une méthode pour déterminer si un certificat est un CA ou pas ?
Je n'ai pas forcément tous les certificats intermédiaires dans le magasin mais j'en ai quand même quelques un ...


Merci de votre aide !

[Marco46]

Oups, pas vu ce post désolé.

Quelques méthodes utiles à cette fin :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
 
/**
         * Détermine si le certificat n'est pas une Autorité de Certification. En d'autres termes, si le
         * certificat est un certificat de bout de chaine.
         * 
         * @return true si c'est un certificat de bout de chaine, false sinon.
         */
	public boolean estPasAC() {
 
		/*
		 * Cf Begining Crypto with Java, chap 6, page 200.
		 */
		if(m_X509.getBasicConstraints() == -1)
			return true;
 
		return false;
	}
 
	/**
         * Détermine si le certificat est une AC Racine. (Autosignée).
         * Renvoi false si c'est une ACI !
         * 
         * @return true si c'est une AC Racine. false dans tous les autres cas.
         */
	public boolean estACRacine() {
 
		/*
		 * Cf Begining Crypto with Java, chap 6, page 200.
		 * Pour être une AC Racine, un certificat doit être marqué comme CA dans BasicConstraint
		 * ET
		 * le nom X500 émetteur doit être EGAL au nom X500 sujet.
		 */
		if	( (m_X509.getBasicConstraints() != -1) && 
			 m_X509.getIssuerX500Principal().getName().equalsIgnoreCase(
					 						m_X509.getSubjectX500Principal().getName()) 
			)
			return true;
 
		return false;
	}
 
	/**
         * Détermine si le certificat est une AC Intermédiaire.
         * Renvoi false si c'est une AC Racine !
         * 
         * @return true si c'est une AC Intermédiaire. false dans tous les autres cas.
         */
	public boolean estACI(){
 
		/*
		 * Cf Begining Crypto with Java, chap 6, page 200.
		 * 
		 * Pour être une AC Intermédiaire, un certificat doit être marqué comme CA dans BasicConstraint
		 * ET
		 * le nom X500 émetteur doit être DIFFERENT du nom X500 sujet.
		 */
		if	( ( m_X509.getBasicConstraints() != -1 ) && 
			  (! m_X509.getIssuerX500Principal().getName().equalsIgnoreCase(
					  							m_X509.getSubjectX500Principal().getName()) ) 
			)
			return true;
 
		return false;
	}

m_X509 est le certificat à tester, c'est un membre de la classe dont j'ai extrait ces fonctions.