java - 如何验证 x509 证书的签名？

您正在寻找 PKI（公钥基础设施）中常见的证书链。一个证书可以签署另一个证书以表明该证书是可以信任的。

在简单的示例中，将有一个自签名且受信任的根证书 - 每个人都信任此证书。接下来，您可以要求此证书的所有者使用 Root 的证书私钥签署您的证书。因此，如果有人想使用您的证书，他可以检查您的证书是否由 Root 证书签名，如果他信任 Root 证书 - 他也可以信任您。

在 Java 中，您可以使用以下内容检查证书是否由相应证书的私钥签名：

X509Certificate yourCert = ...
X509Certificate root = ...

try {
    yourCert.verify(root.getPublicKey()); } 
catch (CertificateException | NoSuchAlgorithmException | InvalidKeyException | NoSuchProviderException e) {
    //handle wrong algos
} catch (SignatureException ex) {
    //signature validation error
}

服务于这个Certificate::verify目的：

验证此证书是否使用与指定公钥对应的私钥签名。

由于X509CertificateextendsCertificate您可以在X509Certificate实现上使用此方法（因为X509Certificate是一个abstract类）。

你也可以看看X509Certificate::verify(PublicKey, Provider)哪些采取PublicKey和Provider实施。