java – 在Tomcat中读取传入证书

您可以通过在HttpServletRequest上获取javax.servlet.request.X509Certificate属性来获取客户端证书链.这是一个 X509Certificates系列,其中第一个(位置0)是实际的客户端证书(如果需要中间CA证书,链的其余部分可能存在).

X509Certificate certs[] = 
    (X509Certificate[])req.getAttribute("javax.servlet.request.X509Certificate");
// ... Test if non-null,non-empty.

X509Certificate clientCert = certs[0];

// Get the Subject DN's X500Principal
X500Principal subjectDN = clientCert.getSubjectX500Principal();

然后,您可以在this answer中所述的本主体(例如CN)中获取各种RDN(相对可分辨名称)：

import javax.naming.ldap.LdapName;
import javax.naming.ldap.Rdn;

String dn = subjectDN.getName();
LdapName ldapDN = new LdapName(dn);
for(Rdn rdn: ldapDN.getRdns()) {
    System.out.println(rdn.getType() + " -> " + rdn.getValue());
}

(您也可以使用BouncyCastle的X509Name来获取每个RDN.)

在X.509证书中,主题DN是RDN的有序序列,每一个都是一组AVA(属性值断言),例如CN = …或O = ….原则上可以是每个RDN多个AVA,这将在这里引起问题,但这是非常罕见的.您几乎可以假设每个RDN只有一个AVA. (也许this answer可能是感兴趣的)