1. Inicio
  2. Pregunta y respuesta
  3. Cómo cargar la clave privada RSA desde el archivo

Cómo cargar la clave privada RSA desde el archivo

2010-07-14 12 views
50

Estoy trabajando en un arnés de prueba para un servicio al consumidor de aserción SAML 1.1. La prueba debe generar una SAMLResponse firmada y enviarla al ACS codificado en Base64. El ACS debe poder verificar el mensaje firmado utilizando el certificado público X509.Cómo cargar la clave privada RSA desde el archivo

Puedo construir el SAMLResponse, agregando las aserciones necesarias, etc. Pero cuando trato de firmar el objeto me encuentro con problemas. Aquí hay un fragmento de mi código actual:

String certPath = "mycert.pem"; 
File pubCertFile = new File(certPath); 
BufferedInputStream bis = null; 
try { 
    bis = new BufferedInputStream(new FileInputStream(pubCertFile)); 
} catch(FileNotFoundException e) { 
    throw new Exception("Could not locate certfile at '" + certPath + "'", e); 
} 
CertificateFactory certFact = null; 
Certificate cert = null; 
try { 
    certFact = CertificateFactory.getInstance("X.509"); 
    cert = certFact.generateCertificate(bis); 
} catch(CertificateException e) { 
    throw new Exception("Could not instantiate cert", e); 
} 
bis.close(); 
ArrayList<Certificate> certs = new ArrayList<Certificate>(); 
certs.add(cert); 

String keyPath = "mykey.pem"; 
File privKeyFile = new File(keyPath); 
try { 
    bis = new BufferedInputStream(new FileInputStream(privKeyFile)); 
} catch(FileNotFoundException e) { 
    throw new Exception("Could not locate keyfile at '" + keyPath + "'", e); 
} 
byte[] privKeyBytes = new byte[(int)privKeyFile.length()]; 
bis.read(privKeyBytes); 
bis.close(); 
KeyFactory keyFactory = KeyFactory.getInstance("RSA"); 
KeySpec ks = new PKCS8EncodedKeySpec(privKeyBytes); 
RSAPrivateKey privKey = (RSAPrivateKey) keyFactory.generatePrivate(ks); 

samlResponse.sign(Signature.getInstance("SHA1withRSA").toString(), privKey, certs);

El error se produce en la penúltima línea. Veo lo siguiente en la consola:

java.security.spec.InvalidKeySpecException: java.security.InvalidKeyException: invalid key format

Aunque no es habitual o seguro, pero por el bien de este hilo, estoy proporcionando el CERT pública y una clave privada que estoy usando. Por supuesto, volveré a crear uno nuevo una vez que se resuelva el problema. :)

[email protected]:~/$ cat mykey.pem 
-----BEGIN RSA PRIVATE KEY----- 
MIICXgIBAAKBgQDnbcLSlDFaDMhalcmQgclTFobpkHQHJtxMVGRlbv7zknttAVbY 
1jzGjJ6HVupndzDxA9tbiMjQujmGlS/8g5IEbVsR9o6dmcmbvujtEZ2rHZ82tMYP 
VAt2IoS/W/q2Rr1cAZ/zTKEmh0ZZjzCZFueLfrYPm3am5JLcXgVtbKwybQIDAQAB 
AoGBAJ441oettYgBUUFNQv8/HGtn7Vjl38277cVptTH8DuZr8WJ3Fe8tmWONZBzX 
eW6/eIBuyJvuCo1ZpFa0zJfxQ/Ph6QlQwdN50GNfh9RzSS6lDdfy8BRhc27sypXS 
L6c5ljB6ql+pp3DdxFhJMOs3ZmBJdeyWe7uFrkngtnM1nxZBAkEA+1hbV1Q305wa 
u8YMF1SlNIAfgLJ7buD43SEXle0egz405PFG8f8yDmvROwDiRceILGVrRbInd7Cb 
dvJKr34WOQJBAOu2+reG44rNuiXeGX1MYg6TlWYyABm7PrTrhPZkedodOQB8p7zD 
AqtDSK7RnDCoThndPW6kdNAeB+kG4ug5XdUCQHRDU8UajNRSkj8nhjJIkj6twWS7 
qsMIR7Wp+An+7C1TWg5I2UNZg2MOVnNPnlseyAuZQjy0AvOnetJTk16IGWkCQQCL 
FUbOr8rnhgiGe4yywDVDwJVw3aPtiuyvOCEWeabkqkWOIf+fg7m5cFQcwxXUKBsd 
a8vp0yQSAQZN24Bb4i2ZAkEA8xGJFlFDY9HREWZnDey5STgbUeT1wYkyKcDsUrp1 
kR/3BliGqSIfje+mSKDIZqaP+gai/8bIABYAsDP/t6+cuA== 
-----END RSA PRIVATE KEY----- 

[email protected]:~/$ cat mycert.pem 
-----BEGIN CERTIFICATE----- 
MIID7zCCA1igAwIBAgIJAKrURaAaD6ulMA0GCSqGSIb3DQEBBQUAMIGsMQswCQYD 
VQQGEwJVUzERMA8GA1UECBMISWxsaW5vaXMxEDAOBgNVBAcTB0NoaWNhZ28xHDAa 
BgNVBAoTE0hvc3R3YXkgQ29ycG9yYXRpb24xITAfBgNVBAsTGFJlc2VhcmNoIGFu 
ZCBEZXZlbG9wbWVudDEYMBYGA1UEAxMPd3d3Lmhvc3R3YXkuY29tMR0wGwYJKoZI 
hvcNAQkBFg5hakBob3N0d2F5LmNvbTAeFw0xMDA3MTQwMjMyMDhaFw0xMTA3MTQw 
MjMyMDhaMIGsMQswCQYDVQQGEwJVUzERMA8GA1UECBMISWxsaW5vaXMxEDAOBgNV 
BAcTB0NoaWNhZ28xHDAaBgNVBAoTE0hvc3R3YXkgQ29ycG9yYXRpb24xITAfBgNV 
BAsTGFJlc2VhcmNoIGFuZCBEZXZlbG9wbWVudDEYMBYGA1UEAxMPd3d3Lmhvc3R3 
YXkuY29tMR0wGwYJKoZIhvcNAQkBFg5hakBob3N0d2F5LmNvbTCBnzANBgkqhkiG 
9w0BAQEFAAOBjQAwgYkCgYEA523C0pQxWgzIWpXJkIHJUxaG6ZB0BybcTFRkZW7+ 
85J7bQFW2NY8xoyeh1bqZ3cw8QPbW4jI0Lo5hpUv/IOSBG1bEfaOnZnJm77o7RGd 
qx2fNrTGD1QLdiKEv1v6tka9XAGf80yhJodGWY8wmRbni362D5t2puSS3F4FbWys 
Mm0CAwEAAaOCARUwggERMB0GA1UdDgQWBBQI/4Inzs6OH5IquItuKhIrhPb24zCB 
4QYDVR0jBIHZMIHWgBQI/4Inzs6OH5IquItuKhIrhPb246GBsqSBrzCBrDELMAkG 
A1UEBhMCVVMxETAPBgNVBAgTCElsbGlub2lzMRAwDgYDVQQHEwdDaGljYWdvMRww 
GgYDVQQKExNIb3N0d2F5IENvcnBvcmF0aW9uMSEwHwYDVQQLExhSZXNlYXJjaCBh 
bmQgRGV2ZWxvcG1lbnQxGDAWBgNVBAMTD3d3dy5ob3N0d2F5LmNvbTEdMBsGCSqG 
SIb3DQEJARYOYWpAaG9zdHdheS5jb22CCQCq1EWgGg+rpTAMBgNVHRMEBTADAQH/ 
MA0GCSqGSIb3DQEBBQUAA4GBAA388zZp6UNryC/6o44hj7wTBQdzFFM5cs3B668A 
ylAnnal+J8RMIeCHoMF4S7yFQtYdOiWeScgw3c7KXrhJK1X7fU3I+eb1t3Yp1cTI 
htyzw14AoiICFalmlVgTCsn3+uh6AXP02PTkR8osdEpUOlWap4uzSKYNKc7tLOFd 
4CkM 
-----END CERTIFICATE-----

¡Gracias!

Fuente

2010-07-14 AJ.

Respuesta

46

que necesita para convertir su clave privada a formato PKCS8 usando los siguientes comandos:

openssl pkcs8 -topk8 -inform PEM -outform DER -in private_key_file -nocrypt > pkcs8_key

Después de esto el programa Java puede leerlo.

Fuente

2011-09-19 16:02:44

14

Dos cosas. Primero, debe base64 decodificar el archivo mykey.pem usted mismo. En segundo lugar, el formato de clave privada de openssl que está utilizando no es estándar y no es compatible con PKCS8EncodedKeySpec. Si está dispuesto a usar la biblioteca bouncycastle, puede usar algunas clases en las bibliotecas bouncycastle provider y bouncycastle PKIX para hacer un trabajo rápido de esto.

import java.io.BufferedReader; 
import java.io.FileReader; 
import java.security.KeyPair; 
import java.security.Security; 

import org.bouncycastle.jce.provider.BouncyCastleProvider; 
import org.bouncycastle.openssl.PEMKeyPair; 
import org.bouncycastle.openssl.PEMParser; 
import org.bouncycastle.openssl.jcajce.JcaPEMKeyConverter; 

// ... 

String keyPath = "mykey.pem"; 
BufferedReader br = new BufferedReader(new FileReader(keyPath)); 
Security.addProvider(new BouncyCastleProvider()); 
PEMParser pp = new PEMParser(br); 
PEMKeyPair pemKeyPair = (PEMKeyPair) pp.readObject(); 
KeyPair kp = new JcaPEMKeyConverter().getKeyPair(pemKeyPair); 
pp.close(); 
samlResponse.sign(Signature.getInstance("SHA1withRSA").toString(), kp.getPrivate(), certs);

Fuente

2010-07-15 00:36:49

+4

Gracias por el consejo Greg. Estoy de acuerdo con el uso de BC (ya lo estoy usando para firmar claves), pero me gustaría saber cómo descifrar una clave privada de DER utilizando el proveedor predeterminado. Es bastante fácil de codificar, la decodificación no parece ser tan sencilla ... Codifiqué la clave al llamar a key.getEncoded(). Tan fácil como caerse de un tronco. Por cierto, la clave se creó usando keytool. Estaba pensando en poder decodificar usando una fábrica de llaves "RSA". Hay un método generatePrivate() que devuelve la clave privada que quiero, pero ese método requiere una KeySpec. El RSAPrivateKeySpec toma un módulo y un exponente privado. ¿Es th –

+0

Todavía no hay solución? Tengo el mismo problema. (por cierto, esto no debería haberse marcado como la solución correcta si no es la solución). – Vincent

+1

@Vincent: creo que fue la solución a la pregunta original. Es posible que no haya respondido la pregunta adicional en el comentario, pero ese comentario fue confuso al final. Además, el comentario fue hecho 7 meses después de mi respuesta !. Usted dice que tiene el mismo problema. ¿Puedes ser mas específico? –

Cuestiones relacionadas

 Cuestiones relacionadas