1.概述

在本快速教程中，我们将通过快速而实际的示例学习如何读取Java中受信任证书的列表。

2.加载KeyStore

Java将受信任的证书存储在一个名为cacerts的特殊文件中，该文件位于我们的Java安装文件夹中。

让我们从读取此文件并将其加载到KeyStore ：

private KeyStore loadKeyStore() {

 String relativeCacertsPath = "/lib/security/cacerts".replace("/", File.separator);

 String filename = System.getProperty("java.home") + relativeCacertsPath;

 FileInputStream is = new FileInputStream(filename);



 KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType());

 String password = "changeit";

 keystore.load(is, password.toCharArray());



 return keystore;

 }

KeyStore的默认密码为“changeit” ，但如果先前在我们的系统中进行了更改，则可能会有所不同。

加载后， KeyStore将保存我们的受信任证书，接下来，我们将了解如何读取它们。

3.从指定的KeyStore

我们将使用[PKIXParameters](https://docs.oracle.com/en/java/javase/11/docs/api/java.base/java/security/cert/PKIXParameters.html)类，该类将KeyStore作为构造函数参数：

@Test

 public void whenLoadingCacertsKeyStore_thenCertificatesArePresent() {

 KeyStore keyStore = loadKeyStore();

 PKIXParameters params = new PKIXParameters(keyStore);



 Set<TrustAnchor> trustAnchors = params.getTrustAnchors();

 List<Certificate> certificates = trustAnchors.stream()

 .map(TrustAnchor::getTrustedCert)

 .collect(Collectors.toList());



 assertFalse(certificates.isEmpty());

 }

PKIXParameters类通常用于验证证书，但是在我们的示例中，我们仅使用它来从KeyStore提取证书。

当创建一个PKIXParametrs实例时，它将构建一个[TrustAnchor](https://docs.oracle.com/en/java/javase/11/docs/api/java.base/java/security/cert/TrustAnchor.html)列表，其中将包含存在于我们的KeyStore的受信任证书。

TrustAnchor实例仅表示受信任的证书。

4.从默认KeyStore

我们还可以通过使用TrustManagerFactory KeyStore的情况下对其进行初始化来获取系统中存在的受信任证书的列表，该KeyStore将使用默认的KeyStore 。

如果我们未KeyStore ，则默认情况下将使用上一章中的相同内容：

@Test

 public void whenLoadingDefaultKeyStore_thenCertificatesArePresent() {

 TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());

 trustManagerFactory.init((KeyStore) null);



 List<TrustManager> trustManagers = Arrays.asList(trustManagerFactory.getTrustManagers());

 List<X509Certificate> certificates = trustManagers.stream()

 .filter(X509TrustManager.class::isInstance)

 .map(X509TrustManager.class::cast)

 .map(trustManager -> Arrays.asList(trustManager.getAcceptedIssuers()))

 .flatMap(Collection::stream)

 .collect(Collectors.toList());



 assertFalse(certificates.isEmpty());

 }

在上面的示例中，我们使用了X509TrustManager ，它是专用的TrustManager用于对SSL连接的远程部分进行身份验证。

请注意，此行为可能取决于特定的JDK实现，因为规范init() KeyStore参数为null情况下应该发生的情况。

5.证书别名

证书别名只是一个唯一标识证书String

在Java导入的默认证书中，还有由公共Internet域注册商GoDaddy发行的著名证书，我们将在测试中使用该证书：

String GODADDY_CA_ALIAS = "godaddyrootg2ca [jdk]";

让我们看看如何读取KeyStore存在的所有证书别名：

@Test

 public void whenLoadingKeyStore_thenGoDaddyCALabelIsPresent() {

 KeyStore keyStore = loadKeyStore();



 Enumeration<String> aliasEnumeration = keyStore.aliases();

 List<String> aliases = Collections.list(aliasEnumeration);

 assertTrue(aliases.contains(GODADDY_CA_ALIAS));

 }

在下一个示例中，我们将看到如何通过其别名检索证书：

@Test

 public void whenLoadingKeyStore_thenGoDaddyCertificateIsPresent() {

 KeyStore keyStore = loadKeyStore();



 Certificate goDaddyCertificate = keyStore.getCertificate(GODADDY_CA_ALIAS);

 assertNotNull(goDaddyCertificate);

 }

六，结论

在这篇快速文章中，我们通过快速而实际的示例研究了在Java中列出受信任证书的不同方法。

与往常一样，可以在GitHub上找到代码段。