CertificateUtil

/**
 * Copyright By Grandsoft Company Limited.
 * 2014年3月24日 上午9:22:16
 */
package gboat2.base.bridge.util.security;

import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.PrivateKey;
import java.security.PublicKey;
import java.security.cert.Certificate;
import java.security.cert.CertificateFactory;
import java.security.cert.X509Certificate;
import java.util.Date;

import org.apache.commons.io.IOUtils;

/**
 * 对加密、解密证书进行操作的工具类。
 * JDK 中与证书操作相关的命令：
 * <pre>
 * 1. 生成keyStroe文件：
 * <code>keytool -genkey -validity 36000 -alias www.glodon.com -keyalg RSA -keystore D:/glodon.keystore</code>
 * 其中
 *     <b>-genkey</b> 表示生成密钥
 *     <b>-validity</b> 指定证书有效期，这里是 36000 天
 *     <b>-alias</b> 指定别名，这里是 www.glodon.com
 *     <b>-keyalg</b> 指定算法，这里是 RSA
 *     <b>-keystore</b> 指定存储位置，这里是 D:/glodon.keystore
 * 控制台输出：
 *     输入keystore密码：
 *     再次输入新密码:
 *     您的名字与姓氏是什么？
 *       [Unknown]：  www.glodon.com
 *     您的组织单位名称是什么？
 *       [Unknown]：  glodon
 *     您的组织名称是什么？
 *       [Unknown]：  glodon
 *     您所在的城市或区域名称是什么？
 *       [Unknown]：  BeiJing
 *     您所在的州或省份名称是什么？
 *       [Unknown]：  BeiJing
 *     该单位的两字母国家代码是什么
 *       [Unknown]：  CN
 *     CN=www.glodon.com, OU=glodon, O=glodon, L=BeiJing, ST=BeiJing, C=CN 正确吗？
 *       [否]：  Y
 *
 *     输入 &lt;tomcat&gt; 的主密码
 *             （如果和 keystore 密码相同，按回车）：
 *     再次输入新密码:
 * 这时，在 D 盘下会生成一个 glodon.keystore 的文件。
 *
 * 2. 生成自签名证书 ，光有keyStore文件是不够的，还需要证书文件，证书才是直接提供给外界使用的公钥凭证。
 * 导出证书：
 * <code>keytool -export -keystore d:\glodon.keystore -alias www.glodon.com -file D:/glodon.cer -rfc</code>
 * 其中
 *     <b>-export</b> 指定为导出操作
 *     <b>-keystore</b> 指定 keystore 文件
 *     <b>-alias</b> 指定导出 keystore 文件中的别名
 *     <b>-file</b> 指向导出路径
 *     <b>-rfc</b> 以文本格式输出，也就是以 BASE64 编码输出
 * 控制台输出：
 *     输入keystore密码：
 *     保存在文件中的认证 <D:/glodon.cer>
 *
 * 普及一下使用 JarSigner 对代码进行签名的小知识：
 * <code>jarsigner -storetype jks -keystore glodon.keystore -verbose glodon-example.jar www.glodon.com</code>
 * 控制台输出：
 *     输入密钥库的口令短语：
 *      正在更新： META-INF/WWW_GLODON.SF
 *      正在更新： META-INF/WWW_GLODON.RSA
 *       正在签名： org/glodon/security/Security.class
 *       正在签名： org/glodon/example/Main$1.class
 *       正在签名： org/glodon/example/Main$2.class
 *       正在签名： org/glodon/example/Main.class
 *
 *     警告：
 *     签名者证书将在六个月内过期。
 *
 * 签名完成后，还可以使用 JarSigner 对签名后的 jar 进行校验：
 * <code>jarsigner -verify -verbose -certs glodon-example.jar</code>
 * 控制台输出：
 *               402 Sat Jun 20 16:25:14 CST 2009 META-INF/MANIFEST.MF
 *               532 Sat Jun 20 16:25:14 CST 2009 META-INF/WWW_GLODON.SF
 *               889 Sat Jun 20 16:25:14 CST 2009 META-INF/WWW_GLODON.RSA
 *      sm       590 Wed Dec 10 13:03:42 CST 2014 org/glodon/security/Security.class
 *
 *            X.509, CN=www.glodon.com, OU=glodon, O=glodon, L=BeiJing, ST=BeiJing, C=CN
 *            [证书将在 09-9-18 下午3:27 到期]
 *
 *      sm       705 Tue Dec 16 18:00:56 CST 2014 org/glodon/example/Main$1.class
 *
 *            X.509, CN=www.glodon.com, OU=glodon, O=glodon, L=BeiJing, ST=BeiJing, C=CN
 *            [证书将在 09-9-18 下午3:27 到期]
 *
 *      sm       779 Tue Dec 16 18:00:56 CST 2014 org/glodon/example/Main$2.class
 *
 *            X.509, CN=www.glodon.com, OU=glodon, O=glodon, L=BeiJing, ST=BeiJing, C=CN
 *            [证书将在 09-9-18 下午3:27 到期]
 *
 *      sm     12672 Tue Dec 16 18:00:56 CST 2014 org/glodon/example/Main.class
 *
 *            X.509, CN=www.glodon.com, OU=glodon, O=glodon, L=BeiJing, ST=BeiJing, C=CN
 *            [证书将在 09-9-18 下午3:27 到期]
 *
 *
 *        s = 已验证签名
 *        m = 在清单中列出条目
 *        k = 在密钥库中至少找到了一个证书
 *        i = 在身份作用域内至少找到了一个证书
 *
 *      jar 已验证。
 *
 *      警告：
 *      此 jar 包含签名者证书将在六个月内过期的条目。
 * </pre>
 * @author <a href="mailto:[email protected]">何明旺</a>
 * @since 3.0
 * @date 2014年3月24日
 * @see RSAUtil
 * @see RSASignUtil
 */
public class CertificateUtil {
    public static final String PKCS12 = "PKCS12";

    /** Java密钥库(Java 密钥库，JKS)KEY_STORE */
    public static final String KEY_STORE = "JKS";

    public static final String X509 = "X.509";

    /**
     * 获得密钥库
     * @param keyStorePath 密钥库存储路径
     * @param password 密钥库密码
     * @return
     */
    public static KeyStore getKeyStore(String keyStorePath, String password) {
        FileInputStream in = null;
        try {
            in = new FileInputStream(keyStorePath);
            KeyStore keyStore = KeyStore.getInstance(KEY_STORE);
            keyStore.load(in, password.toCharArray());
            return keyStore;
        } catch (FileNotFoundException e) {
            throw new GboatSecurityException("密钥库文件 [" + keyStorePath + "] 不存在", e);
        } catch (Exception e) {
            throw new GboatSecurityException("加载密钥库失败：keyStorePath=" + keyStorePath + ", password=" + password, e);
        } finally {
            IOUtils.closeQuietly(in);
        }
    }

    /**
     * 根据密钥库获得私钥
     * @param keyStorePath 密钥库存储路径
     * @param alias 密钥库别名
     * @param password 密钥库密码
     * @return
     */
    public static PrivateKey getPrivateKey(String keyStorePath, String alias, String password) {
        KeyStore keyStore = getKeyStore(keyStorePath, password);
        try {
            return (PrivateKey) keyStore.getKey(alias, password.toCharArray());
        } catch (Exception e) {
            throw new GboatSecurityException("从密钥库中读取私钥信息失败：keyStorePath=" + keyStorePath + ", password=" + password + ", alias=" + alias, e);
        }
    }

    /**
     * 根据证书获得公钥
     *
     * @param certificatePath 证书存储路径
     * @return
     */
    public static PublicKey getPublicKey(String certificatePath) {
        Certificate certificate = getCertificate(certificatePath);
        return certificate.getPublicKey();
    }

    /**
     * 获得证书
     *
     * @param certificatePath 证书存储路径
     * @return
     */
    public static Certificate getCertificate(String certificatePath) {
        FileInputStream in = null;
        try {
            CertificateFactory certificateFactory = CertificateFactory.getInstance(X509);
            in = new FileInputStream(certificatePath);
            return certificateFactory.generateCertificate(in);
        } catch (FileNotFoundException e) {
            throw new GboatSecurityException("证书文件 [" + certificatePath + "] 不存在", e);
        } catch (Exception e) {
            throw new GboatSecurityException("加载证书 [" + certificatePath + "] 失败", e);
        } finally {
            IOUtils.closeQuietly(in);
        }
    }

    /**
     * 根据密钥库获得证书
     *
     * @param keyStorePath 密钥库存储路径
     * @param alias 密钥库别名
     * @param password 密钥库密码
     * @return
     */
    public static Certificate getCertificate(String keyStorePath, String alias, String password) {
        KeyStore keyStore = getKeyStore(keyStorePath, password);
        try {
            return keyStore.getCertificate(alias);
        } catch (KeyStoreException e) {
            throw new GboatSecurityException("根据密钥库加载证书失败：keyStorePath=" + keyStorePath + ", password=" + password + ", alias=" + alias, e);
        }
    }

    /**
     * 验证数字证书当前是否有效
     *
     * @param certificatePath 证书存储路径
     * @return
     */
    public static boolean verifyCertificate(String certificatePath) {
        return verifyCertificate(certificatePath, new Date());
    }

    /**
     * 验证数字证书是在给定的日期是否有效
     *
     * @param date 日期
     * @param certificatePath 证书存储路径
     * @return
     */
    public static boolean verifyCertificate(String certificatePath, Date date) {
        Certificate certificate = getCertificate(certificatePath);
        if(!(certificate instanceof X509Certificate))
            throw new GboatSecurityException("证书 [" + certificatePath + "] 的类型不是 X.509，暂不支持对其进行有效性校验。");

        return verifyCertificate((X509Certificate)certificate, date);
    }

    /**
     * 校验证书当前是否有效
     *
     * @param certificate 证书
     * @return
     */
    public static boolean verifyCertificate(X509Certificate certificate) {
        return verifyCertificate(certificate, new Date());
    }

    /**
     * 验证证书是否过期或无效
     *
     * @param date 日期
     * @param certificate 证书
     * @return
     */
    public static boolean verifyCertificate(X509Certificate certificate, Date date) {
        try {
            certificate.checkValidity(date);
            return true;
        } catch (Exception e) {
            return false;
        }
    }

    /**
     * 验证密钥库对应的数字证书当前是否有效
     *
     * @param keyStorePath 密钥库存储路径
     * @param alias 密钥库别名
     * @param password 密钥库密码
     * @return
     */
    public static boolean verifyCertificate(String keyStorePath, String alias, String password) {
        return verifyCertificate(new Date(), keyStorePath, alias, password);
    }

    /**
     * 验证密钥库对应的数字证书是在给定的日期是否有效
     *
     * @param keyStorePath 密钥库存储路径
     * @param alias 密钥库别名
     * @param password 密钥库密码
     * @return
     */
    public static boolean verifyCertificate(Date date, String keyStorePath, String alias, String password) {
        Certificate certificate = getCertificate(keyStorePath, alias, password);
        if(!(certificate instanceof X509Certificate))
            throw new GboatSecurityException("密钥库对应 [" + keyStorePath + "] 的证书类型不是 X.509，暂不支持对其进行有效性校验。");

        return verifyCertificate((X509Certificate)certificate, date);
    }

    /**
     * 根据密钥库获取其签名算法
     *
     * @param keyStorePath 密钥库存储路径
     * @param alias 密钥库别名
     * @param password 密钥库密码
     * @return
     */
    public static String getSigAlgName(String keyStorePath, String alias, String password) {
        // 获得证书
        Certificate certificate = getCertificate(keyStorePath, alias, password);
        if(!(certificate instanceof X509Certificate))
            throw new GboatSecurityException("密钥库对应 [" + keyStorePath + "] 的证书类型不是 X.509，无法读取该密钥库对应的签名算法。");

        return ((X509Certificate) certificate).getSigAlgName();
    }

}