áËÍƒÍ‚— á‚à›‚œÍƒ Ë‚‡ŸÁ àß‰œ
(ÝÍ‚žˆ Å›‹–) ÿÁß˜ ‚ƒ Þ›Á áÁà—ƒŒ

ÿÁß˜ á‚àÍŸ‡œÎ áßÍ ÙŸ–‰… ß ‚ÅœŸš— ß ‚ÍßÍ‹ ËŸì‚…

Todd Sundsted :àËœ‹Ÿßœ
JavaWorld.com
ËÁË‰ àÍÁÍŒ :Ý‡Í…›

àšŠ
ÞéŸÁ ÜßÁ Å›‹– à‹ ÎÁ àËÍßÀ Å‹Ëƒ Å‚šÔÁ ß ‚ÍÁÎƒÁ ÎÁ àË‚•…‹Á ‚ƒ ËŸœÁß…ÿ›
áÁÍƒ ÞŸÁ Ëß‡ß ‚ƒ .ËŸÎ‚‹ƒ ÁÍ ËßŠ áËÍƒÍ‚— á‚à›‚œÍƒ ¬ÿÁß˜ àÍ‚ƒÍË àß›‡›
ËéŸì‚… àƒ ÔßƒÍ› Å‚ŸŸÎ‡ ËŸ‚ƒ ¬ËœŒ‚ƒ Þ›ŸÁ Þ‚—›Á Ë‰ ‚… à— ÿŸ‚à›‚œÍƒ ÅŠ‚‹
ÿé…‚é–Ÿ–‰… Íß… ÚŸ ‚ƒ ÁÍ ‚›Œ Todd Sundsted áÍ‚‡ à‚› ÍË .ËŸœÁËƒ ÁÍ ÿÁß˜
àÍéŸé‡éœÎ ËéŸéì‚… áÁÍƒ áÍßÍŽ Ü‰ÁÍ› ß Ëœ—ÿ› àÁÍ› X.509 ßŸ…—„‹Í„ àÍ‚ƒÍË
.ËËÿ› ÉŸŽß… ÁÍ X.509 ÿÁß˜

ß X.509 á‚éÿéÁßé˜ ¬ÿé›ßé›é ËéŸ™— áÍÁÌ˜Î›Í àÍ‚ƒÍË à…ŒÌ˜ Å›‹– Ëœˆ ØÍÕ
ÁÍ Áß‚é‡ àéƒ ÔßéƒÍ› á‚ž‹š— .ËŸËß›œ Ã‹— ÖšÔÁ ÿÁß˜ ß“™ àƒ ÔßƒÍ› á‚ž…‹Ÿ™
àË‚é•é…‹Á àß‰œ ËŸ‚ƒ Þßœ—Á .ËŸËÍƒ ÿ„ ‚žœÀ ÅŸ›Á àƒ ß ËŸËÍ— ÍßÍ› ß ÿ‹ÍÍƒ
Í‚é— ß Íé‹ ÞÀ ‚éƒ à‚é› ÞéŸÁ àé— Å‹Á ÿßŽß› ÞŸÁ ß ËŸÍŸ˜ƒ Ë‚Ÿ ÁÍ ‚žœÀ ÎÁ
.ËŸÍÁË

:ËŸŸ‚›œ à™‚Ô› ÁÍ ÿÁß˜ àÍ‚ƒÍË àß›‡› ÞŸÁ á‚ž›…‹– à› ËŸœÁß…ÿ›

ËœŒŠƒÿ› Í‚ƒ…Á ÿ›ß› ËŸ™— áÍÁÌ˜Î›Í àƒ ‚ÿÁß˜ - ÜßÁ Å›‹–
X.509 á‚ÿÁß˜ ÎÁ àË‚•…‹Á àß‰œ - ÝßË Å›‹–
Áß‚‡ X.509 CRL ß CRL á‚ž‹š— ËÍƒÍ‚— - Ýß‹ Å›‹–
ÿÁß˜ àÍŸ‡œÎ áßÍ ÙŸ–‰… ß ÅœŸš— ß ÍßÍ‹ ËŸì‚… - ÝÍ‚žˆ Å›‹–

à›Ÿƒ Åœ áÁÍƒ áÁà›‚œÍƒ Ë‚‡ŸÁ Ü‚‰ ÍË ‚›Œ :ËŸÍŸ˜ƒ ÍÕœ ÍË ÁÍ ÍŸÎ áßŸÍ‚œ‹
Å‚éšéÔÁ àéƒ Þ‚‹À ÿ‹Í…‹Ë àƒ Î‚Ÿœ HIPPA Security Guidlines .ËŸ…‹ ÿ…›š‹
Üé›‚éŒ Ýé ‚Î‚Ÿœ ÞŸÁ .Å‹Á àËŒ àÍŸŠÌ ÞÀ ‘ƒ‚… á‚ž›…‹Ÿ‹ ÍË à— ËÍÁË ÿ‹‚‹‰
ÞéŸÁÍéƒ‚œƒ .ËŒ‚ƒÿ› ‚à›‚œÍƒ Í˜ŸË ØÍÔ ÎÁ ÿ‹Í…‹Ë Ý ß ÒŠŒ Ãœ‚‡ ÎÁ ÿ‹Í…‹Ë
á‚éàé›‚éœÍƒ .ËŒ‚ƒ Þ›ŸÁ ËŸ‚ƒ ÁÎ‡Á ÞŸƒ Üƒ‚–…› ÔƒÁßÍ ‚›Œ ÿŸÎß… Ý…‹Ÿ‹ ÍË
‚éžéœÀ ‚ƒ à— ÁÍ ÿŸ‚ÍßÍ‹ ¬Ð‚‹‰ Å‚šÔÁ Ü‚–…œÁ ÎÁ Üƒ– ËœœÁß…ƒ ËŸ‚ƒ ÅœŸš—
ÅéœéŸš— á‚à›‚œÍƒ ËŸ‚ƒ ÎŸœ ‚ÍßÍ‹ ß ËœŸ‚›œ ËŸŸ‚… ¬Ëœœ—ÿ› ÍÁÍ–Íƒ Ô‚ƒ…ÍÁ
ÝéÁÍé• ‚éžé…éœéŸš— à— ÿ‹‚‹‰ Å‚šÔÁ áßÍ Å‚Ÿ™› Ý‚‡œÁ ß ÑÍŸÌ„ ÎÁ Üƒ– ÁÍ
.ËœŸ‚›œ ËŸì‚… ¬ËœÁàËÍ—

SSL .(Secure Socket Layer) ËéŒ‚ƒÿ› SSL ÎÁ àË‚•…‹Á ¬ËŸì‚… á‚žÁÍ ÎÁ ÿ—Ÿ
¬ËéŒ‚éƒÿ› ÿ‹Í…‹Ë ÍË Áß‚‡ áÁÍƒ (Java Secur Socket Extension) JSSE ÍË à—
Ô‚éƒé…ÍÁ áÍÁÍ–Íƒ ËœŸÀÍÍ• ÞŸ‰ ÁÍ ËŸì‚… Í‚— X.509 áÏß™ßœ—… ÎÁ àË‚•…‹Á ‚ƒ
Þ‚éƒŸ…Œ„ áß– ß Ößœ…› áÍÁÌ˜Î›Í á‚Ý…ŸÍß˜™Á ÎÁ àË‚•…‹Á ‚ƒ ß ËÍŸ˜ÿ› àËžƒ
Íé†ßé› ‚à›‚œÍƒ Í†—Á ËÍß› ÍË ÑßÍ ÞŸÁ à— Å•˜ ËŸ‚ƒ àœ‚–Ë‚ .ËŸ‚›œÿ› àŸž…
Í à— ËŸ…‹ Þì›Ô› ß ËŸ…‹ ÞŸÁ ÎÁ ÍŸ’ áÍ˜ŸË Ü‰àÁÍ Ü‚ƒœË ÿ…–ß àÏŸßƒ ¬Å‹Á
Í‚— ËÍÁß› ÿŽƒ ÍË SSL ÞŸÁ Ëß‡ß ‚ƒ .ËœŸ‚›œÿ› àŸž… ÁÍ SSL Þ‚ƒŸ…Œ„ ØÍÔ ßË
àË‚é•é…é‹Á ÞÀ ÎÁ ËŸœÁß…ÿ›œ ‚Ÿ ËŸÍÁËœ áÎ‚Ÿœ ÞÀ àƒ ‚›Œ ÿ…–ß ËŸ‚Œ ¬Ëœ—ÿ›œ
Þ‚…ËßŠ ËŸ‚ƒ áËÍÁß› ÞŸœˆ ÍË .ËŸŸ‚›œ àË‚•…‹Á ÞÀ ÎÁ ËŸÁßŠÿ›œ ÿ…‰ ‚Ÿ ËŸœ—
.ËŸŸ‚›œ Ë‚‡ŸÁ ÁÍœÀ àƒ‚Œ› ÿŸÀÍ‚—

ËŸì‚…
ÁÍ ÅéœéŸš— ß ÍßÍ‹ ÚŸ ÞŸƒ ÔƒÁßÍ .ÝŸÎÁËœŸƒ ÿ–Ÿ–Ë à‚˜œ Ü—Œ› ÞŸÁ àƒ ËŸŸ‚Ÿƒ
àéˆÍé˜) ËœŒ‚ƒÿ› SSL ÅŸ™ƒ‚– áÁÍÁË à›‚œÍƒ ßË ÎÁ áÁàœß›œ à— ËŸÍŸ˜ƒ ÍÕœ ÍË
ÎÁ àË‚é•é…é‹Á ‚éƒ àé— ÿé‚éé…ŠÁ á‚à›‚œÍƒ ÍßÔœŸ› ß (Ëœ…‹Ÿœ ÅŸßÍ Üƒ‚–
ËéÁßŠÿ› ßÁ ÎÁ ß ËßŒÿ› Ü…› ÍßÍ‹ àƒ ÅœŸš— .ËœÁàËŒ à…Š‚‹ X.509 áÏß™ßœ—…
ËßéŠ ÎéŸœ ßÁ ‚… ËÁßŠÿ› ÅœŸš— ÎÁ- ÿƒ‚Š…œÁ ÍßÔƒ ß ËŸ‚›œ ËŸì‚… ÁÍ ËßŠ ‚…
ËŸÀÿ› ÑŸ„ ÅÍËœ àƒ ¬ËÍŸ˜ÿ› ÅÍß SSL à™Ÿ‹ßƒ à— ÅœŸš— ËŸì‚… .Ëœ— ËŸì‚… ÁÍ
àé— ÿé…é—ÍŒ á‚à›‚œÍƒ ÍË ÞŸÁ Ëß‡ß ‚ƒ .ËŒ‚ƒ à…ŒÁË ÿŒ–œ SSL Å‚Ÿ™› ÍË à—
Åé‹Á ÿŒßÍ ‚žœ… ÅœŸš— ËŸì‚… ¬ËŒ‚ƒÿ› Ýž› ß ÿ›ÁÎ™Á ÅÁÍß›Á Ý‚›… àƒ ÿ‹Íƒ‚‹‰
.àœ ‚Ÿ Å‹Á ÿœßœ‚– ß Î‚‡› ÅœŸš— Ëß‡ß à—œŸÁ ÎÁ Þ‚œŸ›ÔÁ áÁÍƒ

ÍÁËÎé›Í Ô‚ƒ…ÍÁ ÚŸ áÍÁÍ–Íƒ Þ‚ÁßŠ ÅœŸš— Í˜Á .ËŸ‚›œÿ› ËŸì‚… ÁÍ ËßŠ ÅœŸš—
‚é‡éœéŸÁ ÍË ÝéÁßŠÿ›œ Þ› .ËÍÁË à™‰Í› ÞŸËœˆ ÞËÍ— ÿÔ àƒ Î‚Ÿœ Í‚—ÞŸÁ ËŒ‚ƒ
.ÝË ÉŸŽß… ÁÍ àËŒ áÍÁÌ˜Î›Í Ô‚ƒ…ÍÁ ÚŸ Ë‚‡ŸÁ ËœŸÀÍ•

Ëœ—ÿ› Í‚— àƒ ÖßÍŒ ÅœŸš—
‚žœÀ ÎÁ ÿ—Ÿ àÍ‚ƒÍË ÉŸŽß… ÞŸÁÍƒ‚œƒ ¬Ëœœ—ÿ› ËŸì‚… ÁÍ Í˜ŸË—Ÿ ÅœŸš— ß ÍßÍ‹
ÝéŸÎÁËéœéŸéƒ ÿé‚˜œ ÍßÍ‹ ËŸì‚… ËœŸÀÍ• àƒ ÚŸËÎœ ÎÁ ËŸŸ‚Ÿƒ ÁË…ƒÁ .Å‹Ÿ•‚—
áÍ‚— ËŸ‚ƒ ÍßÍ‹ ¬ËŸ‚›œ ËŸì‚… ÁÍ ÍßÍ‹ ÅœŸš— ÚŸ à—œŸÁ áÁÍƒ .(² ß ± Ü‰ÁÍ›)
Ü› ÞÀ ËœÁß…ƒ ËŸ‚ƒ ÎŸœ ÅœŸš— ß ËŸÀÿ› Íƒ ßÁ àËž ÎÁ Ô–• à— ËË Ý‚‡œÁ ÁÍ
ËéŸ™— áÍÁÌ˜Î›Í Å‚Ÿ™› ÚŸ ÎÁ ‚žœÀ áßË Í ÍßÕœ› ÞŸ› àƒ ß ËŸ‚›œ ËŸì‚… ÁÍ
.ÝËÍ— àÍ‚ŒÁ ÞÀ àƒ ÜßÁ Å›‹– ÍË Þ› à— Ëœœ—ÿ› àË‚•…‹Á ÿ›ß›

ß Ëœ—ÿ› Ü‚‹ÍÁ ÍßÍ‹ àƒ ÁÍ àËÁË ÎÁ áÍÁË–› ¬ËßŒÿ› Ü…› ÍßÍ‹ àƒ ÅœŸš— ÿ…–ß
ÁÍ àËÁË ÞÀ ËßéŠ àéœ‚›Í‰› ß ÿ‚…ŠÁ ËŸ™— ÎÁ àË‚•…‹Á ‚ƒ ‚… ËÁßŠÿ› ßÁ ÎÁ
-ËŒ‚ƒÿ› ÞÀ Ý‚‡œÁ àƒ ÍË‚– ÍßÍ‹ Ô–• à— ÿ™›- ËŸ‚›œ ‚Ž›Á Ü‚…Ÿ‡ŸË à–ŸÍÔ àƒ
á‚éŽé›Á ‚éƒ ÍßÍé‹ .ËéŒ‚éƒ àËŒœ š›Íƒ ßÁ àœ‚›Í‰› ËŸ™— à—œŸÁ ÓÍ• ‚ƒ à…ƒ™Á
ÍË àËéŒ àÍéŸŠÌ ÿ›ß› ËŸ™— ÎÁ àË‚•…‹Á ‚ƒ ÅœŸš— ß ËËÿ› Ê‹‚„ ËßŠ Ü‚…Ÿ‡ŸË
Ý‚é‡éœÁ ËéŸéì‚é… Ü› ß ËŸ‚›œÿ› ËŸì‚… ÁÍ ÍßÍ‹ Ü‚…Ÿ‡ŸË á‚Ž›Á ¬ÍßÍ‹ ÿÁß˜
.ËßŒÿ›

ÅéœéŸšé— ÞŸÁÍƒ‚œƒ ß ËœŒ‚ƒ àËŒœ ÿ•Í› Üƒ– ÎÁ ÅœŸš— ß ÍßÍ‹ Å‹Á Þ—›› ÿ‚˜
ËéŸ‚ƒ ÍßÍ‹ ¬ßŸÍ‚œ‹ ÞŸÁ àƒ à‡ß… ‚ƒ .ËŒ‚ƒ à…ŒÁËœ Í‚Ÿ…ŠÁ ÍË ÁÍ ÍßÍ‹ ÿÁß˜
ÿé„— ÚŸ ÍßÍ‹ Í˜Á .ËŸ‚›œ àìÁÍÁ ÿŸß˜Š‹‚„ Åž‡ ËßŠ á‚Ž›Á àÁÍ› àƒ ÁÍ ÿÁß˜
Üéƒ‚é–é› ÍË Í‚é— Ô‹ß ÍË à›‚œÍƒ ¬ËÍÁÌ˜ƒ ÅœŸš— Í‚Ÿ…ŠÁ ÍË ÁÍ ËßŠ ÿÁß˜ ÎÁ
ÞéŸéƒ Í˜àË‚•…‹Áß‹ Æ™‚† ÒŠŒ ¬à™›‰ ÞŸÁ ÍË .ËŒ ËÁßŠ ÍŸÌ„ÃŸ‹À ÒŠŒ ÚŸ à™›‰
ÁÍ Üƒ‚–› ØÍÔ Ñ–œ ÚŸ Í áÁÍƒ ß ËœŸŒœÿ› Í˜ŸË—Ÿ ‚ƒ Ô‚ƒ…ÍÁ Ü‚‰ ÍË àßÍ˜ ßË
ÞéŸÁ ‚éŸÀ àé— ËéŸéœ— ÙŸ–‰… ËŸ‚ƒ áÁà™›‰ ÞŸœˆ ‚ƒ à™ƒ‚–› áÁÍƒ .Ëœ—ÿ› áÎ‚ƒ
Ô‚éƒé…ÍÁ ßÁ ‚éƒ ËŸ…‹ÁßŠÿ› ‚›Œ à— ËÍÁË Ù™… ÿŠŒ Þ‚› àƒ àËŒ àŸž… ÿÁß˜
Åé‹Á àËÍé— Ë‚‡ŸÁ ËßŠ à— ÁÍ áÁàËÁË ËŸ‚ƒœ ÍßÍ‹ à‚˜ˆŸ .àœ ‚Ÿ ËŸœ— ÍÁÍ–Íƒ
Ü‚‹ÍÁ ÅœŸš— àƒ ËŸì‚… Åž‡ ÁÍ ‚Ž›Á Ý ß àËÁË Ý Ð„‹ ß ËŸ‚›œ ËŸì‚… ß ‚Ž›Á
ÒŠŒ :ËßŒÿ› ËË‡› ÑŠ„ à™›‰ Üƒ‚–› ÍË áÍŸÌ„ÃŸ‹À Æ‚ƒ ÎŸœ ËßŠ Í‚—œŸÁ .ËŸ‚›œ
áÁÍéƒ ‚éžéœÀ ÎÁ Ð„‹ ß ËÍŸ˜ÿ› Í‚Ÿ…ŠÁ ÍË ÁÍ ‚Ž›Á ß àËÁË Í˜àË‚•…‹Áß‹ Æ™‚†
.ËŸ‚›œÿ› àË‚•…‹Á ÿ™Á ÍßÍ‹ ÞÁßœƒ ËßŠ ËŸì‚…

ÿéÁßé˜ ËŸì‚… àß‰œ àÍ‚ƒÍË Åš›‰ àœß˜œŸÁ ÎßÍƒ ÎÁ áÍŸ˜ß™‡ áÁÍƒ ËŸ‚ƒ Þßœ—Á
.ÝŸœ— Åƒ‰ Ëß‡ß›

ÿÁß˜ ËŸŸ‚…
¬DN) ÁÍ ÿéÁßé˜ ÍË Ëß‡ß› Ý‚œ à— Å‹Á ÞŸÁ ÿÁß˜ ÚŸ ËŸì‚… áÁÍƒ ÑßÍ ÞŸÍ…žƒ
‚ƒ (-ËßŒÿ› àË‚•…‹Á AltName Ëœß‹„ ÎÁ ÎŸœ ÿ‚˜- X.509 ÍË àËŒ ÒŠŒ› Ý‚œ ‚Ÿ
.ËŸŸ‚›œ à‹Ÿ‚–› ¬ËŸœ— ÍÁÍ–Íƒ Ô‚ƒ…ÍÁ ßÁ ‚ƒ ËŸœÁßŠÿ› à— ÿ™ƒ‚–› ØÍÔ Ý‚œ

ËéœÁß…ÿ› Ð—Í à— Å‹Á ÞŸÁ Ý ÞÀ ß ËÍÁË Ü‚—ŒÁ ÚŸ àË‚‹ ÑßÍ ÞŸÁ ¬àœ‚•‹‚…›
.ËŸ‚›œ Ë‚‡ŸÁ ÁÍ ËŒ‚ƒÿ› àÁßŠ™Ë Ý‚œ ÚŸ ß ÿ›ß› ËŸ™— ÚŸ Ü›‚Œ à— ÿÁß˜ ÚŸ

Ù™… ÿ›‚œ Þ‚› àƒ ÿÁß˜ ÍË Ëß‡ß› ÿ›ß› ËŸ™— à— ËŸœ— Åƒ‚† ËŸœÁß…ÿ› ÍßÔˆ
¿Å‹Á àË›À ÿÁß˜ ÍË à— ËÍÁË

:Å‹Á Å‚šÔÁ Ößœ à‹ áÁÍÁË Ü–ÁË‰ ÿÁß˜ ÚŸ

Ý‚œ ÚŸ
ËÍÁË Ù™… Ý‚œ ÞÀ àƒ ÁÍ‚Õ à— ÿ›ß› ËŸ™— ÚŸ
ËÍÁË Üßƒ– ÁÍ ÿÁß˜ áßÍ Å‚šÔÁ Æ™‚† ÒŠŒ à—œŸÁ àœ‚Œœ àƒ Æ™‚† á‚Ž›Á ÚŸ

.ËŸŸ‚›œ ËŸì‚… ÁÍ ÿÁß˜ áßÍ Æ™‚† á‚Ž›Á ËŸ‚ƒ ÿÁß˜ ËŸì‚… áÁÍƒ ¬ÞŸÁÍƒ‚œƒ
ÿéÁßé˜ áßÍ Æé™‚† á‚Ž›Á ÎÁ ÁÍ à…Š‚œŒ‚œ ÍßÍ‹ áß™‡ ËœÁß…ÿ› ÿ™›Áß àˆ ÿ™ß
Åé‹Ëƒ àËŒ ‚Ž›Á á‚ÿÁß˜ ÿ›‚›… ËŸœÁß…ÿ› ‚›Œ ÞŸÁ Ëß‡ß ‚ƒ .ÎŸˆ ÈŸ ¿ËÍŸ˜ƒ
àé…éŠ‚éœéŒ ‚CA ‚Ÿ ÿÁß˜ Þ‚‹‚œŒÍ‚— ÞÁßœƒ à— ÿ—ˆß— àßÍ˜ ÎÁ ÍŸ’ ÿŠŒ Í
ÁÍ CA ÿé›ßé›é ËéŸé™— Í˜Á .(ËŸœ— à‡ÁÍ› ÜßÁ Å›‹– àƒ) ËŸŸ‚›œ ËÍ ¬ËœÁàËŒ
ÿéÁßé˜ áßÍ ÁÍ CA á‚éŽé›Á ËŸœÁß…ÿ› -ËŸ…‹ ÿÁß˜ ÿ„— áÁÍÁË Þßˆ- ËŸœÁËÿ›
.ËŸŸ‚›œ Ü‚‰ Þ‚œŸ›ÔÁ ÞÀ Å‰ ÎÁ ß ËŸœ— ËŸì‚…

ÞÀ ‚éŸÀ à—œŸÁ ÒŸŠŒ… ß ÿÁß˜ áßÍ Ý‚œ Þ‚‰…›Á ‚ƒ ÅœŸš— Å•˜ ËŸ‚ƒ àšŠ ÍßÔƒ
Ëéœé— ÍÁÍé–Íéƒ Ô‚éƒ…ÍÁ ÞÀ ‚ƒ ËÁßŠÿ› ßÁ à— ËÍÁË Ù™… áÍßÍ‹ Þ‚› àƒ Ý‚œ
¬ËŒ‚ƒ ÉŸ‰ Ý‚œ áÁÍÁË ÍßÍ‹ ÿÁß˜ Í˜Á .ËŸ‚›œÿ› ËŸŸ‚… ÁÍ ÍßÍ‹ ÿÁß˜ ¬àœ‚Ÿ
CA ØÍéÔ ÎÁ ‚Ž›Á ÞÀ ‚ŸÀ ËœŸƒƒ ‚… ËŸ‚›œÿ› ÿ‹ÍÍƒ ÁÍ ÿÁß˜ áßÍ á‚Ž›Á ÅœŸš—
.ËßŒÿ› Ý‚›… ËŸŸ‚… Ü› .àœ ‚Ÿ Å‹Á Ë‚›…Á Üƒ‚–

Å‹Ëƒ Å‹Á Þ—›› à—œŸÁ ÜßÁ ¬ËÍÁË Ëß‡ß ÿ…š—Œ› ÎŸœ Ü› ÞŸÁ Ý‚‡œÁ ÍË ¬àÍ‚ƒßË
ÍË ËéŸÍÁËéœ Ë‚é›é…Á ßÁ àƒ ‚Ÿ ËŸ‹‚œŒÿ›œ ÁÍ ßÁ ‚›Œ à— ËŒ‚ƒ àËŒ ‚Ž›Á ÿ‹—
‚éŸ ¬ËéŒ‚éƒÿé› ÿéŠŒ ÞŸœˆ ÞÀ àËœœ—‚Ž›Á à— ËŸ…‹ ÿÁß˜ áÁÍÁË ‚›Œ à—Ÿ™‚‰
ÍË .ËéŸÍÁË Ë‚é›…Á š›‚— ßÁ àƒ à— ËŒ‚ƒ àËŒ ‚Ž›Á ÿ‹— Å‹Ëƒ Å‹Á Þ—›› à—œŸÁ
áÁÍéƒ .ËéœÍßÀ Ëßé‡ßéƒ ÁÍ Ü‹œ ÞŸËœˆ ËœÁß…ÿ› ÿÁß˜ á‚àÍŸ‡œÎ ÞŸÁ ÑßÍ ÞŸÁ
Üéƒ‚é– ß ËÍÁË Ëßé‡ß àÍéŸé‡œÎ ÞŸÁ ÍË à— ÿÁß˜ Í ËŸ‚ƒ ¬ÍßÍ‹ ÿÁß˜ ËŸŸ‚…
.ËŸœ— ËŸì‚… ÁÍ Å‹Á Ë‚›…Á

áÁÍÁË ÿé‚é…ß— Þ‚›Î ÅË› áÁÍƒ Ô–• ‚ÿÁß˜ ÞŸÁ :Í˜ŸË ÎŸˆ ÚŸ ËŸœ— Íƒ ÿ™ß
áÁÍƒ .ËœŒ‚ƒÿ› ‚ž…œÁ ß ÁË…ƒÁ ÊŸÍ‚… ÚŸ Ü›‚Œ X.509 á‚žŸÁß˜ .Ëœ…‹ Í‚ƒ…Á
ÎÁ àÍéŸ‡œÎ ÜŠÁË á‚žŸÁß˜ à› ËŸ‚ƒ ËŒ‚ƒ Í‚ƒ…Á áÁÍÁË ÿÁß˜ àÍŸ‡œÎ à—œŸÁ
Åé‹›– ÍË à— ÍßÔœ‚› àßšƒ .ËœŒ‚ƒ ÍÁËÍßŠÍƒ ËßŠ àƒ ÒßŠ› Í‚ƒ…Á ÊŸÍ‚… ÚŸ
Åé‹éŸé™) á‚CRL ËŸ‚ƒ ÞŸÁÍƒ‚œƒ .ËœßŒ ÜÔ‚ƒ ËœœÁß…ÿ› ‚ÿÁß˜ ¬ËŸ…Šß›À Ýß‹
.Ëß›œ Úˆ ÿÁß˜ àÍ‡ŸœÎ ÍË ÁÍ ÿÁß˜ Í áÁÍƒ Ã‹‚œ› (ÿÁß˜ Ü‚ÔƒÁ

ÿ›ž› á‚Ëœß‹„ Ü›‚Œ Å‹Á Þ—›› ‚ÿÁß˜ .ËŸÁàËÁËœ Ý‚‡œÁ ÁÍ Í‚—œŸÁ Îßœ ‚›Œ
Íé—Ì àƒ ÞÁËœˆ à—œŸÁ Ëß‡ß ‚ƒ ËŸËß›œ àÕ‰š› ÝßË Å›‹– ÍË à— ÍßÔœ‚› .ËœŒ‚ƒ
ÿŸ‚ž…ŸËßË‰› ËËÿ› Þ‚œŸ›ÔÁ ‚›Œ àƒ ÿŸÁÍ‡Á Å‚Ÿ™› ÿ™ß àËŒœ à…ŠÁËÍ„ Å‚ŸŸÎ‡
ß ÒéŠŒ› ÿÁß˜ Í‚ƒ…Á ‚ƒ Ô‚ƒ…ÍÁ ß Ù™… Ý‚˜œ ÍË ËÍÁË Ëß‡ß ‚Ëœß‹„ ÍË à—
ÿéÁßé˜ ÚéŸ ÎÁ ÍßéÔéˆ àé— ËËÿ› Þ‚Œœ Keyusage Ëœß‹„ š†› .ËœßŒÿ› áÍŸ˜Ÿ„
ÿé™‚é…éŸé‡éŸË á‚é‚Ž›Á áÁÍƒ ÍÁËÎ›Í ÿÁß˜ ÚŸ ÎÁ ËŸ‚ƒœ ‚›Œ :Ëß›œ àË‚•…‹Á
.ËŸŸ‚›œ àË‚•…‹Á

ÿéÁßé˜ ËÍÁËéœ‚é…é‹Á ÐŸßœÑŸ„ ÞŸÍ…ËŸË‡ .àËŒœ Ý‚›… Þ‚…Í‚— Îßœ ¬àœ‚•‹‚…›
‚éÿéŒé› ÔŠ ÜÍ…œ— àƒ Î‚Ÿœ ¬ËŒ‚ƒÿ› ÿÁß˜ àÍŸ‡œÎ ËŸŸ‚… ÑÍ‚— à— IETF PKIX
ÍË à…•Í Í‚—ƒ ÿŒ› ÔŠ ÿœŸ ÿÁß˜ ÿŒ› ÔŠ ÎÁ ÍßÕœ› .ËÍÁË ËŸì‚… ËœŸÀÍ• Ô‹ß…
.ËßŒ ÞŸ›‚… ÿÁß˜ ÚŸ ÎÁ àË‚•…‹Á ‚ƒ ËŸ‚ƒ à— ÿ•ÁËÁ ß àËŒ ÍË‚ ÿÁß˜ ÚŸ

ËéœéŸÀÍé• ÞŸÁ Ý‚‡œÁ .ÝËŒ à…‹Š Þ› ËŸÁßŠƒ ÁÍ Ñ…‹ÁÍ Í˜Á ¿ËŸËŒœ à…‹Š Îßœ
àé— ÿéŸ‚žŒš… àÍ‚ƒÍË ÁËƒ .Å‹Á Ü—Œ› ÞÀ ÞËÁË Ý‚‡œÁ Å‹ÍË ß ËÍÁË áË‚ŸÎ Í‚—
Ë— Ëœˆ ÝÁßŠÿ› Ü‚‰ .ËÍ— ÝÁßŠ Åƒ‰ à…•Í Í‚—ƒ ¬Åš—Œ› ‘•Í ß à‹ß… Åž‡ ÍË
ÁÍ š‚éƒ Ü‰ÁÍ› ÎÁ áÁàß›‡›ÍŸÎ ËŸœÁß…ƒ ‚žœÀ ÙŸÍÔ ÎÁ à— Ýœ— ÿ•Í› ‚›Œƒ ÁÍ
.ÙŸ–Ë ß Ã‹‚œ› ÿÁß˜ àÍŸ‡œÎ ÚŸ ËŸì‚… áÁÍƒ Ô–• ÿ™ß .ËŸË Ý‚‡œÁ

Ë—
áÍé‹ ÚéŸ ÎÁ ‚é›éŒ ¬‚éCRL ß ‚éËéœßé‹„ ¬à…•Í Í‚—ƒ á‚ÿŒ› ÔŠ ÎÁ ÍÕœ ØÍ
‚é›éŒ àé— ËéËÿé› Þ‚Œœ àƒÍ‡… .ËŒ ËŸÁßŠ ÍÁËÍßŠÍƒ ÿ™Í…œ— Üƒ‚– á‚žŸŸÀÍ‚—
ÍË àé—¬X.509 àËœŒ— à›‚œÍƒ ß SSL .ËŸŸ‚›œ ØÌ‰ ÁÍ ËÍÁß› ÞŸÁ ÿ‚˜ ËŸœÁß…ÿ›
.ËœËÿ›œ Ý‚‡œÁ ÁÍ Å‚Ÿ™› ÞŸÁ ÎÁ ÚŸ ÈŸ ¬ËœÍÁË Ëß‡ß áÍ˜ÍßÍ› Í

:àËŒ àËÁË Þ‚Œœ X.509 ÿÁß˜ àÍŸ‡œÎ ÚŸ ËŸŸ‚… Ü‰ÁÍ›‚‡œŸÁ ÍË

Þéìé›Ô› ¬ËŸœ— Í‚— àÍŸ‡œÎ áßÍ ËŸ‚ƒ àÍŸ‡œÎ ÞŸÁ ÍË Ëß‡ß› ÿÁß˜ Í ËÍß› ÍË
àÍéŸé‡éœÎ ÞéŸÁ ÍË ËéŸéƒ ÿÁß˜ àËœœ—ÍË‚ ß ØÍ› ÿÁß˜ àœß›œ Í à— ËŸßŒ
.ËŒ‚ƒÿ›
ÿéÁßé˜ ÞéŸé™ßÁ ÞÁßœƒ ËÍÁË Ë‚›…Á ßÁ àƒ ÅœŸš— à— ÿ†™‚† ÒŠŒ ËŸœ— ËŸŸ‚…
.Å‹Á à…•Í˜ ÍÁÍ– àÍŸ‡œÎ
ËéŸéì‚… ÁÍœÀ ËŸÁßŠÿ› ‚›Œ à— áÍßÍ‹ ‚ƒ àÍŸ‡œÎ ÿÁß˜ ÞŸÍŠÀ à— ËŸœ— ËŸì‚…
.Å‹Á ÙƒÔœ› ¬ËŸì‚›œ
ÍéŽ‚é‰ Ü‚‰ ÍË ÿÁß˜ ÞŸÁ à— ËŸœ— ËŸŸ‚… ËŸ‚ƒ àÍŸ‡œÎ ÞŸÁ ÍË ÿÁß˜ Í áÁÍƒ
.ËŒ‚ƒÿ› Íƒ…›

Ý‚é‡éœÁ ÿéÁßé˜ àÍéŸ‡œÎ ÚŸ Üƒ‚–› ÍË ÿÁß˜ Í áÁÍƒ ÁÍ Å‚Ÿ™› ÞŸÁ ÍŸÎ Ë—
:ËËÿ›

public static boolean verify ( X509Certificate x509certificateRoot, Collection collectionX509CertificateChain, String stringTarget ) { int nSize = collectionX509CertificateChain.size(); X509Certificate [] arx509certificate = new X509Certificate [nSize]; collectionX509CertificateChain.toArray(arx509certificate); // Working down the chain, for every certificate in the chain, // verify that the subject of the certificate is the issuer of the // next certificate in the chain. Principal principalLast = null; for (int i = 0; i < nSize; i++) { X509Certificate x509certificate = arx509certificate[i]; Principal principalIssuer = x509certificate.getIssuerDN(); Principal principalSubject = x509certificate.getSubjectDN(); if (principalLast != null) { if (principalIssuer.equals(principalLast)) { try { PublicKey publickey = arx509certificate[i - 1].getPublicKey(); arx509certificate[i].verify(publickey); } catch (GeneralSecurityException generalsecurityexception) { System.out.println("signature verification failed"); return false; } } else { System.out.println("subject/issuer verification failed"); return false; } } principalLast = principalSubject; } // Verify that the the first certificate in the chain was issued // by a third-party that the client trusts. try { PublicKey publickey = x509certificateRoot.getPublicKey(); arx509certificate[0].verify(publickey); } catch (GeneralSecurityException generalsecurityexception) { System.out.println("signature verification failed"); return false; } // Verify that the last certificate in the chain corresponds to // the server we desire to authenticate. Principal principalSubject = arx509certificate[nSize - 1].getSubjectDN(); if (!stringTarget.equals(principalSubject.getName())) { System.out.println("target verification failed"); return false; } // For every certificate in the chain, verify that the certificate // is valid at the current time. Date date = new Date(); for (int i = 0; i < nSize; i++) { try { arx509certificate[i].checkValidity(date); } catch (GeneralSecurityException generalsecurityexception) { System.out.println("invalid date"); return false; } } return true; }

àÍéŸé‡éœÎ áßÍ Å‚éŸé™é›é ÞŸÁ Ý‚‡œÁ áÁÍƒ ÁÍ ÿ…œŸš— Þ› ‘ƒ‚œ› ÎÁ ÚŸ Í ÍË
àéƒ ÁÍ Íßé‡‚éœ á‚éžé™Ÿ‚• áÍ‹—Ÿ ‚›Œ à— ÓÍ• ÞŸÁ ‚ƒ .ÝËß›œ à•‚ŽÁ ¬‚ÿÁß˜
RSA (á‚éžéŸéÁßé˜ ÎÁ àé— áÁàéœßé›éœ) ËéŸéŒ‚éƒ àËÍ— à•‚ŽÁ ËßŠ CLASSPATH
JCE ËéééŸ‚éééƒ ‚ééé›éééŒ ß Ëééœé—ÿé› àË‚é•é…é‹Á (Rivest-shami-Adleman)
Íßé…é‹Ë ËéŸ‚éƒ (ËŸŸ‚›œ Ãœ ß download ÁÍ (Java Cryptography Extension)
.ËŸŸ‚›œ ÁÍ‡Á ÍßÔœŸÁ ÁÍ ÅœŸš—

java Client <> <>

ÞéŸÁ ÍË Þé› à— ÿ—Ÿœ—… ÎÁ àË‚•…‹Á ‚ƒ ÁÍ ÿÁß˜ àÍŸ‡œÎ ‚… Ëœ—ÿ› ÿ‹ ÅœŸš—
áÁÍéƒ ÁÍ ËéŸéì‚é… à™‰Í› ÞŸÁ à‡Ÿ…œ ÅœŸš— .ËŸ‚›œ ËŸŸ‚… ¬ÝËÁË ÉŸŽß… à™‚–›
.ËŸ‚›œÿ› ÅœŸÍ„ Üß‹œ—

Í…ŒŸƒ á‚žŸŸ‚›œÁÍ
Í‚é—œŸÁ àƒ ÝÁË–Á à—ŸËÁÍ•Á ß Å‹Á áÍŸ˜Å–ß ËœŸÀÍ• ÿÁß˜ ËŸŸ‚… à— Ý…•˜ šƒ–
.ËßŒÿ› ‚žœÀ àƒ Ý ÿ—›— àœ‚…ŠƒŒßŠ .Ëœœ— à‚ƒ…ŒÁ Å‹Á Þ—›› ¬ËœŸ‚›œÿ›

ÞéŸé‹ áÍéƒÍ àƒ Certification Path API ¬Java Specification Request #55
ÿéÁßé˜ (àÍéŸ‡œÎ ‚Ÿ) ÍŸ‹› ËŸŸ‚… Ü› áÁÍƒ ÁÍ ÿ›ß› API ÚŸ ¬Þ‚‹ ßŽ Þ™ß›
ËéœéŸÀÍé• ËßÍ Í‚é—ƒ Å‹ÍË Í˜Á .ËÎ‚‹ÿ› ÝÁÍ• PKIX á‚ËÍÁËœ‚…‹Á ÙƒÔ X.509
.ËŒ ËÁßŠ àË‚‹ Í‚Ÿ‹ƒ ÿÁß˜ ËŸŸ‚…

à‡Ÿ…œ
àé‡éŸé…éœ àƒ Áß‚‡ ÍË X.509 ÿÁß˜ ÿœ‚ƒŸ…Œ„ àÍ‚ƒÍË ÁÍ Þ› ÑÍÁÎ˜ à™‚–› ÞŸÁ
ÎÁ àË‚é•é…é‹Á ‚ƒ ß ËŸŒ‚ƒ ÍÁËÍßŠÍƒ ÿŸ‚ÍÁÎƒÁ ÎÁ ËŸ‚ƒ ‚›Œ Þßœ—Á .Ëœ‚‹Íÿ›
Í‚éƒ…Á à™ì‹› àƒ à‡ß… ‚ƒ .ËŸŸ‚›œ Ë‚‡ŸÁ ÁÍ ËßŠ á‚à›‚œÍƒ X.509 áÏß™ßœ—…
ß à™‚Ô› ÁÍ Icebery Ëœ•Í… Ô–• ‚›Œ à— Å‹Á Ýß™› ¬ËŒ Í—Ì š‚ƒ ÍË à— ÿÁß˜
ÎéŸéœ ‚éËéœé•Í… ÍŸ‚‹ àƒ ËßŠ Í…žƒ ÚÍË áÁÍƒ ËŸœÁß…ÿ› ‚›Œ .ËŸÁàËÍ— ÿ‹ÍÍƒ
àÍ‚éƒÍË àé— Åé‹Á ÞŸÁ Í‚—àÎ‚… ß ËÍÁß‚œ ËÁÍ•Á àƒ Þ› àŸß… .ËŸŸ‚›œ à‡ÁÍ›
àéé™‚éÔé› Í…ŒŸƒ SSL Ü†›- Ëœ—ÿ› àË‚•…‹Á X.509 ÎÁ à— áËß‡ß› á‚žŸÏß™ßœ—…
ÚÍË ÿé…é‰ÁÍéƒ ÁÍ àËéŒ àËÁË Å‚šÔÁ ß ËÍÁß› à› ËŸœÁß…ÿ› ÙŸÍÔ ÞŸËƒ .Ëœœ—
.ËŸŸ‚›œ

http://a301.g.akamai.net/7/301/1403/v001/www.javaworld.com/
javaworld/icons/dingbat.gif
ÐÍËÀ ß
http://a301.g.akamai.net/7/301/1403/v001/www.javaworld.com/
javaworld/icons/dot_clear.gif

Üé—éŒ àéƒ ‚Í…ßŸ„›‚— ÍßžÕ Þ‚›Î ÎÁ à— Ë…‹Ëœ‚‹ Ë‚… Ý‚œƒ Å‹Á ÿ•™ß› àÍ‚ƒÍË
Ë‚é‡ŸÁ àƒ ËßŠ ÿ…ÁÌ à–š Ëß‡ß ‚ƒ Ë‚… .Å‹Á àËßƒ ÐŸßœà›‚œÍƒ Ä‚…Ú‹Ë á‚ž™Ë›
.ËÍßÀ áßÍ ÎŸœ Áß‚‡ ÿ‹Ÿßœà›‚œÍƒ Þ‚ƒÎ àƒ C++ ÍË àËŒ ‘ŸÎß… á‚à›‚œÍƒ

ÞéŸéœéˆé›é ß Point Fire ÐŸ‹‚… ÍË ‚—ÍŒ ÎÁ ÿ—Ÿ ßÁ ÿ˜Ëœ‹Ÿßœ à•Í‰ Íƒ àßš
.ËŒ‚ƒÿ› ÞÀ Ýž› Å—…ŸŒÍÀ

Resources

"Construct Secure Networked Applications with Certificates," Todd Sundsted (JavaWorld)

Part 1: Certificates add value to public-key cryptography (January 12, 2001)
Part 2: Learn to use the X.509 certificates (February 16, 2001)
Part 3: Use the Java CRL and X509CRL classes (March 16, 2001)
Part 4: Authenticate clients and servers, and verify certificate chains (April 13, 2001)

Download the source and resource files that accompany this article:
http://www.javaworld.com/javaworld/jw-04-2001/howto/jw-0413-howto.zip

JCE (Java Cryptography Extension): http://java.sun.com/products/jce/

JSSE (Java Secure Socket Extension): http://java.sun.com/products/jsse/

Sun's documentation: http://java.sun.com/j2se/1.3/docs/api/java/security/cert/package-summary.html

Internet X.509 Public Key Infrastructure -- Certificate and CRL Profile:
http://www.ietf.org/rfc/rfc2459.txt

The emerging specification that will make RFC 2459 obsolete (note that this URL may change as the spec is updated): http://www.ietf.org/internet-drafts/draft-ietf-pkix-new-part1-06.txt

Information on Java Specification Request #55:
http://java.sun.com/aboutJava/communityprocess/jsr/jsr_055_certp.html

Read more articles on Java Security in the JavaWorld Topical Index:
http://www.javaworld.com/javaworld/topicalindex/jw-ti-security.html

Have a security question? Check out ITworld.com's Java Security discussion:
http://www.itworld.com/jump/jw-0413-howto/forums.itworld.com/webx?14@@.ee6b80e

Sign up for the Java Security newsletter to learn more preventive measures:
http://reg.itworld.com/cgi-bin/subcontent12.cgi

For a complete listing of all How-To Java columns:
http://www.javaworld.com/javaworld/topicalindex/jw-ti-howto.html