es.accv.arangi.base.certificate.validation

Class ValidateCertificate

java.lang.Object

es.accv.arangi.base.ArangiObject

es.accv.arangi.base.certificate.Certificate

es.accv.arangi.base.certificate.validation.ValidateCertificate

public class ValidateCertificate
extends Certificate

Clase que añade la funcionalidad de validación a la clase Certificate.

Para realizar la validación se siguen los siguientes pasos:

1. Si el certificado no está dentro de su periodo de validez no es válido.
2. Si el certificado está autofirmado es válido.
3. Si el objeto CAList contiene un fichero de validación XML (ValidationXML) se comprueba si la Autoridad de Certificación (CA) emisora existe en él. Si es así se valida contra el OCSP y/o la CRL que se indiquen. De esta forma obtendremos si el certificado es válido o no.
4. Si el certificado tiene extensión Authority Information Access (AIA) y en ella hay definido uno o varios OCSP, se realiza la validación contra él/ellos.
5. Si el certificado tiene extensión CRL Distribution Point, se realiza la validación contra la CRL en él definida.
6. Si se llega a este paso sin haber podido realizar la validación se devolverá un resultado indicando que el certificado no se puede validar.
7. Si el certificado ha resultado válido, se validarán los certificados que forman parte de su cadena de confianza siguiendo los pasos anteriores. Si alguno de ellos resulta no válido se devolverá un resultado indicando que la cadena de confianza del certificado no es válida.

El objeto CAList con el que se inicializa esta clase es fundamental durante el proceso de validación. Además de la función ya indicada de poder contener un fichero de validación XML, la lista de certificados de CA que contiene permite a esta clase obtener la cadena de confianza de los certificados a validar. De esta forma también es posible controlar cuáles son las CAs con las que se va a trabajar, no permitiendo que se validen en el sistema certificados de los que se desconoce su procedencia.

Un ejemplo de uso de esta clase sería:

CAList caList = new CAList (new File ("c:/certificates/caCertificates"));
X509Certificate certificate = Util.getCertificate(new File ("c:/certificates/myCertificate.cer"));
ValidateCertificate validateCertificate = new ValidateCertificate (certificate, caList);
int result = validateCertificate.validate ();
System.out.println ("Válido Hoy?: " + CertificateValidator.getString (result));

// validación histórica SimpleDateFormat dateFormat = new SimpleDateFormat ("dd/MM/yyyy"); result = validateCertificate.validate (dateFormat.parse ("01/01/2008")); System.out.println ("Válido el 01/01/2008?: " + CertificateValidator.getString (result));

La mayoría de Autoridades de Certificación eliminan la información de revocación de los certificados caducados de sus CRLs. En estos casos la validación histórica no es posible y Arangi devolverá que el certificado era válido, ya que tanto la CRL como el OCSP devuelven este resultado. La única forma de realizar validación histórica sería dentro de un proceso de firma longeva.

Author:

José M Gutiérrez

Field Summary

Fields inherited from class es.accv.arangi.base.certificate.Certificate

OID_ID_AT_COMMONNAME, OID_OCSP_AIA_EXTENSION, OID_USERID

Fields inherited from class es.accv.arangi.base.ArangiObject

arangiTemporalFolder, CRYPTOGRAPHIC_PROVIDER, CRYPTOGRAPHIC_PROVIDER_NAME, DEFAULT_HASHING_ALGORITHM, DEFAULT_SIGNING_ALGORITHM, NUM_RETRIES

Constructor Summary

Constructors

Constructor and Description
ValidateCertificate(byte[] contenidoCertificado, CAList caList) Constructor en base a un array de bytes.
ValidateCertificate(java.io.File fileCertificate, CAList caList) Constructor en base a un fichero.
ValidateCertificate(java.io.InputStream is, CAList caList) Constructor en base a un stream de lectura.
ValidateCertificate(java.security.cert.X509Certificate certificate, CAList caList) Constructor en base a un objeto java.security.cert.X509Certificate.
ValidateCertificate(java.security.cert.X509Certificate certificate, CAList caList, OCSPClient ocsp, CRL crl) Constructor en base a un objeto java.security.cert.X509Certificate.
ValidateCertificate(java.security.cert.X509Certificate certificate, CAList caList, OCSPClient ocsp, CRL crl, ValidatingTrace trace) Constructor en base a un objeto java.security.cert.X509Certificate que permite obtener la traza de validación.
ValidateCertificate(java.security.cert.X509Certificate certificate, CAList caList, ValidatingTrace trace) Constructor en base a un objeto java.security.cert.X509Certificate que permite obtener la traza de validación.

Method Summary

Methods

Modifier and Type	Method and Description
ValidateCertificate[]	getCertificationChain() Método que obtiene la cadena de confianza del certificado.
CAList	getCertificationChainAsCAList() Devuelve la lista de certificados de CA que requiere este certificado
java.util.List<ValidateCertificate>	getCertificationChainAsList() Método que obtiene la cadena de confianza del certificado.
java.util.List<java.util.List<ValidateCertificate>>	getCertificationChainSeveralIssuers() Método que obtiene la cadena de confianza del certificado.
ValidateCertificate[]	getCompleteCertificationChain() Método que obtiene la cadena de confianza del certificado.
java.util.List<ValidateCertificate>	getCompleteCertificationChainAsList() Método que obtiene la cadena de confianza del certificado.
java.security.cert.X509Certificate[]	getCompleteCertificationChainAsX509Array() Método que obtiene la cadena de confianza del certificado.
CRL	getCRL() Obtiene un objeto CRL de acuerdo al valor de la extensión CRL Distribution Point del certificado.
ValidateCertificate	getIssuerCertificate() Método que obtiene el certificado emisor.
OCSPClient[]	getOCSPClients() Método que obtiene todos los clientes OCSP que pueden validar este certificado.
ValidatingTrace	getTrace() Método que obtiene la traza de los pasos dados durante la validación.
int	validate() Valida el certificado y su cadena de confianza.
int	validate(java.util.Date validationDate) Valida el certificado y su cadena de confianza en un momento del tiempo.
int	validate(java.util.Date validationDate, ValidatingTrace externalTrace) Valida el certificado y su cadena de confianza en un momento del tiempo, permitiendo obtener la traza de la validación.
int	validate(ValidatingTrace externalTrace) Valida el certificado y su cadena de confianza, permitiendo obtener la traza de la validación.

Methods inherited from class es.accv.arangi.base.certificate.Certificate

equals, generateSelfCertificate, generateSelfCertificate, getCertificateEmail, getCommonName, getCountry, getCrlUrls, getData, getDigest, getDigest, getDigestAlgorithm, getElementsSubject, getElementSubject, getExtendedKeyUsage, getFingerPrint, getFingerPrint, getIssuerAlternativeName, getIssuerAlternativeNameElement, getIssuerAndSerialNumber, getIssuerCommonName, getIssuerDN, getIssuerKeyIdentifier, getIssuerKeyIdentifier, getOCSPResponse, getOcspUrls, getPolicyOID, getPolicyOIDs, getPublicKey, getSerialNumber, getSerialNumberBigInteger, getSubjectAlternativeName, getSubjectAlternativeNameElement, getSubjectAlternativeNameElements, getSubjectAlternativeNameElements, getSubjectAlternativeNameString, getSubjectDN, getSubjectKeyIdentifier, getSubjectKeyIdentifier, getValidityPeriodBeginning, getValidityPeriodEnd, hasNoRevocationCheck, isActive, isExpired, isKeyUsageCRLSign, isKeyUsageDataEncipherment, isKeyUsageDecipherOnly, isKeyUsageDigitalSignature, isKeyUsageEncipherOnly, isKeyUsageKeyAgreement, isKeyUsageKeyCertSign, isKeyUsageKeyEncipherment, isKeyUsageNonRepudiation, isNotYetActive, isSelfSigned, normalize, save, saveToPEM, stringToBcX500Name, toDER, toPEM, toPKCS7, toString, toX509Certificate, toX509CertificateHolder, validate, validate

Methods inherited from class es.accv.arangi.base.ArangiObject

getArangiTemporalFolder, getCryptographicProvider, saveTemporalFile, saveToArangiTemporalFolder

Methods inherited from class java.lang.Object

getClass, hashCode, notify, notifyAll, wait, wait, wait

Constructor Detail

ValidateCertificate

public ValidateCertificate(java.security.cert.X509Certificate certificate,
                   CAList caList)
                    throws CertificateCANotFoundException,
                           NormalizeCertificateException

Constructor en base a un objeto java.security.cert.X509Certificate.

Parameters:

certificate - Certificado X.509 v3

caList - Lista de certificados de CA

Throws:

CertificateCANotFoundException - El certificado no pertenece a ninguna CA conocida

NormalizeCertificateException - El certificado no puede ser normalizado al formato reconocido por el proveedor criptográfico de Arangi o su firma no es correcta o no puede ser analizada

ValidateCertificate

public ValidateCertificate(java.io.File fileCertificate,
                   CAList caList)
                    throws CertificateCANotFoundException,
                           NormalizeCertificateException,
                           java.io.FileNotFoundException

Constructor en base a un fichero.

Parameters:

fileCertificate - Fichero que contiene el certificado (tal cual o en formato PEM).

caList - Lista de certificados de CA

Throws:

CertificateCANotFoundException - El certificado no pertenece a ninguna CA conocida

NormalizeCertificateException - El certificado no puede ser normalizado al formato reconocido por el proveedor criptográfico de Arangi o su firma no es correcta o no puede ser analizada

java.io.FileNotFoundException - El fichero no existe

ValidateCertificate

public ValidateCertificate(java.io.InputStream is,
                   CAList caList)
                    throws CertificateCANotFoundException,
                           NormalizeCertificateException

Constructor en base a un stream de lectura.

Parameters:

is - Stream de lectura que contiene el certificado (tal cual o en formato PEM).

caList - Lista de certificados de CA

Throws:

CertificateCANotFoundException - El certificado no pertenece a ninguna CA conocida

NormalizeCertificateException - El certificado no puede ser normalizado al formato reconocido por el proveedor criptográfico de Arangi o su firma no es correcta o no puede ser analizada

ValidateCertificate

public ValidateCertificate(byte[] contenidoCertificado,
                   CAList caList)
                    throws CertificateCANotFoundException,
                           NormalizeCertificateException

Constructor en base a un array de bytes.

Parameters:

contenidoCertificado - Array de bytes que es el contenido del certificado (tal cual o en formato PEM).

caList - Lista de certificados de CA

Throws:

CertificateCANotFoundException - El certificado no pertenece a ninguna CA conocida

NormalizeCertificateException - El certificado no puede ser normalizado al formato reconocido por el proveedor criptográfico de Arangi o su firma no es correcta o no puede ser analizada

ValidateCertificate

public ValidateCertificate(java.security.cert.X509Certificate certificate,
                   CAList caList,
                   ValidatingTrace trace)
                    throws CertificateCANotFoundException,
                           NormalizeCertificateException

Constructor en base a un objeto java.security.cert.X509Certificate que permite obtener la traza de validación.

Parameters:

certificate - Certificado X.509 v3

caList - Lista de certificados de CA

trace - Traza de los pasos dados durante la validación

Throws:

CertificateCANotFoundException - El certificado no pertenece a ninguna CA conocida

NormalizeCertificateException - El certificado no puede ser normalizado al formato reconocido por el proveedor criptográfico de Arangi o su firma no es correcta o no puede ser analizada

ValidateCertificate

public ValidateCertificate(java.security.cert.X509Certificate certificate,
                   CAList caList,
                   OCSPClient ocsp,
                   CRL crl)
                    throws CertificateCANotFoundException,
                           NormalizeCertificateException

Constructor en base a un objeto java.security.cert.X509Certificate. Se le puede indicar el OCSP y/o la CRL que se utilizan para realizar la validación. Este constructor es interesante para realizar validaciones de certificados de CA, que en muchas ocasiones no contienen información de validación.

Parameters:

certificate - Certificado X.509 v3

caList - Lista de certificados de CA

ocsp - Cliente OCSP donde realizar la validación (puede ser nulo)

crl - CRL donde realizar la validación (puede ser nula)

Throws:

CertificateCANotFoundException - El certificado no pertenece a ninguna CA conocida

NormalizeCertificateException - El certificado no puede ser normalizado al formato reconocido por el proveedor criptográfico de Arangi o su firma no es correcta o no puede ser analizada

ValidateCertificate

public ValidateCertificate(java.security.cert.X509Certificate certificate,
                   CAList caList,
                   OCSPClient ocsp,
                   CRL crl,
                   ValidatingTrace trace)
                    throws CertificateCANotFoundException,
                           NormalizeCertificateException

Constructor en base a un objeto java.security.cert.X509Certificate que permite obtener la traza de validación. Se le puede indicar el OCSP y/o la CRL que se utilizan para realizar la validación. Este constructor es interesante para realizar validaciones de certificados de CA, que en muchas ocasiones no contienen información de validación.

Parameters:

certificate - Certificado X.509 v3

caList - Lista de certificados de CA

ocsp - Cliente OCSP donde realizar la validación (puede ser nulo)

crl - CRL donde realizar la validación (puede ser nula)

trace - Traza de los pasos dados durante la validación

Throws:

CertificateCANotFoundException - El certificado no pertenece a ninguna CA conocida

NormalizeCertificateException - El certificado no puede ser normalizado al formato reconocido por el proveedor criptográfico de Arangi o su firma no es correcta o no puede ser analizada

Method Detail

getCertificationChainAsCAList

public CAList getCertificationChainAsCAList()

Devuelve la lista de certificados de CA que requiere este certificado

Returns:

lista de certificados de CA que requiere este certificado

validate

public int validate()

Valida el certificado y su cadena de confianza.

Returns:

Resultado de la validación según las constantes definidas en CertificateValidator

validate

public int validate(java.util.Date validationDate)

Valida el certificado y su cadena de confianza en un momento del tiempo. Hay que tener en cuenta lo indicado en la introducción de esta clase sobre la validación histórica.

Parameters:

validationDate - Fecha donde se evaluará la validación

Returns:

Resultado de la validación según las constantes definidas en CertificateValidator

validate

public int validate(ValidatingTrace externalTrace)

Valida el certificado y su cadena de confianza, permitiendo obtener la traza de la validación.

Parameters:

externalTrace - Traza de los pasos dados durante la validación

Returns:

Resultado de la validación según las constantes definidas en CertificateValidator

validate

public int validate(java.util.Date validationDate,
           ValidatingTrace externalTrace)

Valida el certificado y su cadena de confianza en un momento del tiempo, permitiendo obtener la traza de la validación. Hay que tener en cuenta lo indicado en la introducción de esta clase sobre la validación histórica.

Parameters:

validationDate - Fecha donde se evaluará la validación

externalTrace - Traza de los pasos dados durante la validación

Returns:

Resultado de la validación según las constantes definidas en CertificateValidator

getIssuerCertificate

public ValidateCertificate getIssuerCertificate()

Método que obtiene el certificado emisor.

Returns:

Certificado emisor de este certificado.

getCertificationChainAsList

public java.util.List<ValidateCertificate> getCertificationChainAsList()

Método que obtiene la cadena de confianza del certificado. El primer elemento del array será el emisor del certificado.

Returns:

Cadena de confianza de este certificado

getCompleteCertificationChainAsList

public java.util.List<ValidateCertificate> getCompleteCertificationChainAsList()

Método que obtiene la cadena de confianza del certificado. El primer elemento del array será el propio certificado.

Returns:

Cadena de confianza del certificado (incluyendo el propio certificado)

getCertificationChain

public ValidateCertificate[] getCertificationChain()

Método que obtiene la cadena de confianza del certificado. El primer elemento del array será el emisor del certificado.

Returns:

Cadena de confianza de este certificado

getCompleteCertificationChain

public ValidateCertificate[] getCompleteCertificationChain()

Método que obtiene la cadena de confianza del certificado. El primer elemento del array será el propio certificado.

Returns:

Cadena de confianza del certificado (incluyendo el propio certificado)

getCompleteCertificationChainAsX509Array

public java.security.cert.X509Certificate[] getCompleteCertificationChainAsX509Array()

Método que obtiene la cadena de confianza del certificado. El primer elemento del array será el propio certificado.

Returns:

Cadena de confianza del certificado (incluyendo el propio certificado)

getCertificationChainSeveralIssuers

public java.util.List<java.util.List<ValidateCertificate>> getCertificationChainSeveralIssuers()

Método que obtiene la cadena de confianza del certificado. Puede darse el caso de que hayan varios certificados para el mismo emisor (SHA1 y SHA256). En esos casos se obtendrán los dos certificados en el nivel.

Returns:

Cadena de confianza del certificado (incluyendo el propio certificado)

getOCSPClients

public OCSPClient[] getOCSPClients()

Método que obtiene todos los clientes OCSP que pueden validar este certificado.

En un primer paso comprueba si existe en el caList un* fichero de validación, si es así y en él se encuentran las URLs de los OCSPs para validar este certificado se devuelven.

Si no es así se devuelven los clientes OCSP que apuntan a las URLs indicadas en la extensión Authority Information Access (AIA) del certificado.

Overrides:

getOCSPClients in class Certificate

Returns:

Clientes OCSP para validar este certificado

getTrace

public ValidatingTrace getTrace()

Método que obtiene la traza de los pasos dados durante la validación. Lo normal es que se llame a este método tras la validación si se desea obtener una traza de lo sucedido.

Returns:

Traza con los pasos dados durante la validación

getCRL

public CRL getCRL()
           throws CertificateFieldException,
                  InvalidCRLException

Obtiene un objeto CRL de acuerdo al valor de la extensión CRL Distribution Point del certificado. Si hay más de una CRL definida, el método devuelve la primera a la que puede tener acceso.

Returns:

CRL para validar el certificado

Throws:

java.lang.Exception - No se puede obtener la CRL

CertificateFieldException

InvalidCRLException