解决 Java 加载 pfx 报密码错误

已于 2022-07-08 16:48:43 修改
阅读量2.3k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: Java 文章标签: java
于 2022-07-08 16:47:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/joelcat/article/details/125681571

解决Java 在加载 AES256-SHA256 加密格式的 pfx 文件时报密码错误.

环境:

  • Windows
  • Amazon Corretto 8

摘要

Windows 导出的 pfx 私钥加密方式有两种, 分别是 AES256-SHA256 和 TripleDES-SHA1.

Corretto 8 能正常加载 TripleDES-SHA1 加密格式的证书, 但是不能加载 AES256-SHA256 加密的证书. 错误提示如下:

keystore password was incorrect
java.io.IOException: keystore password was incorrect
    at sun.security.pkcs12.PKCS12KeyStore.engineLoad(PKCS12KeyStore.java:2079)
    at java.security.KeyStore.load(KeyStore.java:1445)
    .....
Caused by: java.security.UnrecoverableKeyException:
    failed to decrypt safe contents entry:
    javax.crypto.BadPaddingException:
    Given final block not properly padded. Such issues can arise if a bad key is used during decryption.
    ... 89 more

当然, 首先应该确保的是我们给定密码是正确的.

解决方案

首先在项目中添加 Bouncy Castle Provider 依赖.

Gradle

// https://mvnrepository.com/artifact/org.bouncycastle/bcprov-jdk15on
implementation 'org.bouncycastle:bcprov-jdk15on:1.70'

示例代码.

// import java.io.BufferedInputStream;
// import java.io.IOException;
// import java.io.InputStream;
// import java.security.*;
// import java.util.Enumeration;

public static PrivateKey loadPrivateKey(InputStream in, char[] pass) throws IOException, GeneralSecurityException {
    // 导出的私钥加密方式有两种, 分别是 AES256-SHA256 和 TripleDES-SHA1
    // 部分JRE (比如说 Corretto 8) 默认的 KeyStore 不支持第一种加密方式.
    // see https://bugs.openjdk.org/browse/JDK-8220734
    //
    // 所以我们要在失败之后尝试使用 BouncyCastle 来加载.

    // 为了在失败后使用BC加载, 所以我们需要一个可重复读的流
    InputStream stream = in.markSupported() ? in : new BufferedInputStream(in);

    final String keyStoreType = "PKCS12";
    KeyStore ks = KeyStore.getInstance(keyStoreType);
    try {
        stream.mark(stream.available()); // available 大概率是有效的, 通常来说 in 应该是本地文件流
        ks.load(stream, pass);
    } catch (IOException e) {
        if (!"keystore password was incorrect".equals(e.getMessage())) {
            throw e;
        }
        try {
            Class<?> bc;
            try {
                bc = Class.forName("org.bouncycastle.jce.provider.BouncyCastleProvider");
            } catch (ClassNotFoundException e2) {
                throw new RuntimeException(
                        "password error using JDK default KeyStore, and BouncyCastle not found"
                );
            }
            Object provider = bc.newInstance();
            Security.addProvider((Provider) provider);
            ks = KeyStore.getInstance(keyStoreType, "BC");
        } catch (Exception e2) {
            throw new RuntimeException(
                    "password error. Trying to use BouncyCastle but occurs an error", e2
            );
        }
        stream.reset();
        ks.load(stream, pass);
    }
    Enumeration<String> iter = ks.aliases();
    if (!iter.hasMoreElements()) {
        throw new IOException("invalid private key file");
    }
    String keyPfxPath = iter.nextElement();
    PrivateKey privateKey = (PrivateKey) ks.getKey(keyPfxPath, pass);
    assert privateKey != null;
    return privateKey;
}

上面示例代码是非入侵式的. 如果目还在开发中, 建议在第一次使用的的时候就采用 BC 来加载. 因为BC 对两种加密格式都支持.

在加载之前将 BC 注册到系统中

// import java.security.Security;
// import org.bouncycastle.jce.provider.BouncyCastleProvider;

Security.addProvider(new BouncyCastleProvider());
【基于Nginx配置https、wss最新教程】基于反向代理服务器部署SSL证书:解决字符[_]在域名中永远无效的问题(DV DigiCert RSA install-pfx-certificate)
专注于计算机研发知识和资讯分享
12-03 1126
小程序前端通常无法直接使用HTTP Session来处理登录状态,因为小程序的跨域通信是由微信后台代理的,而不是通过普通的CORS(跨源资源共享)机制。这意味着服务器端的接口不能依赖于浏览器发送的Cookie来维护会话状态。小程序服务端接口的域名配置只支持 https (wx.request、wx.uploadFile、wx.downloadFile) 和 wss (wx.connectSocket) 协议;背景:提供给小程序访问的接口,需要配置SSL。域名必须经过 ICP 备案;
Java 集成云闪付:详细步骤和解决方案
qu1210的博客
03-26 959
将云闪付与您的 Java 应用程序集成涉及几个步骤。以下是帮助您实现这一支付解决方案的综合指南。通过遵循这些步骤和最佳实践,您应该能够成功地将云闪付与您的 Java 应用程序集成。:代码在测试环境中工作但在生产环境中失败。:由于网络问题,支付状态不确定。:回调签名验证失败。
鸿蒙NEXT版实战开发:如何实现相机关闭?
qq_39652397的博客
01-03 408
如何实现相机关闭.........
IIS导入PFX证书提示“指定的网络密码不正确”
秋名车的博客
12-29 5721
导入证书,总是提示: “指定的网络密码不正确”(The specified network password is not correct)
Java处理PFX格式证书
yuji_123的专栏
12-05 8688
原文地址:http://www.educity.cn/java/504644.html     在Security编程中,有几种典型的密码交换信息文件格式:     DER-encoded certificate: .cer, .crt     PEM-encoded message: .pem     PKCS#12 Personal Information Exchange
使用openssl 生成pfx格式证书时错:unable to load certificates
yeyuningzi的博客
01-05 1715
使用openssl 生成pfx格式证书时错:unable to load certificates 的原因与处理办法
android 签名被篡改(Keystore was tampered with, or password was incorrect)
chuchu521的专栏
05-16 3981
在配置自定义签名时出现了"Keystore was tampered with, or password was incorrect"错误! 参考文档发现: If necessary, you can change the location/name of the debug keystore/key or supply a custom debug keystore/key to u
使用java代码判断.pfx证书格式是sm2还是rsa、
最新发布
03-29
现在需要将这些步骤转化为具体的Java代码,并确保正确处理异常情况,比如密码错误、文件格式不正确等。同时,需要处理可能存在的多个证书的情况,例如证书链中的每个证书都需要检查。 总结,代码的大体结构应该是:...
如何使用Java中的Bouncy Castle库解析并提取SM2算法的PFX文件中的公钥和私钥?
11-05
2. **加载PFX文件**: 使用`KeyStore`类读取PFX文件: ```java FileInputStream fis = new FileInputStream("path_to_your_pfx_file.pfx"); KeyStore keyStore = KeyStore.getInstance("pkcs12"); keyStore.load...
.NET Core加解密实战系列之——使用BouncyCastle制作p12(.pfx)数字证书
福禄网络研发团队的博客
09-23 858
简介 加解密现状,编写此系列文章的背景: 需要考虑系统环境兼容性问题(Linux、Windows) 语言互通问题(如C#、Java等)(加解密本质上没有语言之分,所以原则上不存在互通性问题) 网上资料版本不一、或不全面 .NET官方库密码算法提供不全面,很难针对其他语言(Java)进行适配 本系列文章主要介绍如何在 .NET Core 中使用非对称加密算法、编码算法、消息摘要算法、签...
Keystore was tampered with, or password was incorrect
天下无双
05-25 1万+
自定义keystore名称必须是debug.keystore.不然会 Keystore was tampered with, or password was incorrect,这个错误。另外,还要保证keystore的alias(别名)和alias密码都要和default debug keystore相同。 可以使用一下命令行: keytool -genkey -v -k
React-Native keystore password was incorrect
qq_37933086的博客
08-19 1156
2、通过屏蔽android/app/build.gradle文件中的debug部分的参数,然后记得执行下gradlew assembleDebug看看是否能成功打包。导致这个问题的原因:个人理解是因为默人配置的debug keystore的参数和本地打包生成的debug包对应不上。1、自己生成对应的新的keystore,并配置对应参数,参考。我们在拉取别人项目在本地运行时,经常会碰到一些问题。
[BUG] 微信申请退费java.io.IOException: keystore password was incorrect
cyq213rew的博客
05-16 1302
目前等待对方提供证书信息进行替换测试。后面排查可能是证书的问题。日志中提示的错内容。
java微信支付退款出现java.io.IOException: keystore password was incorrect
热门推荐
小四是个程序猿的博客
06-09 1万+
java微信支付退款出现java.io.IOException: keystore password was incorrect这个错误,这是证书错了,去找一个最新的证书,替换掉就好了。其他时候是可以不用证书的,但是退款必须要用到。
记一次 打包错:Keystore was tampered with, or password was incorrect
weixin_34066347的博客
05-21 1293
场景 今天在项目打包时遇到一个错,如下图,批量打包采用的是多渠道快速打包脚本,由于打包过程太快,错稍纵即逝.. 不得不使用iPhone手机自带的拍摄慢动作,然后截图。将主要信息拿到百度上搜了一下,大多文章说的是重新生成.keystore文件,其实仔细看图,提示已经比较直接了Password veritication failed密码验证失败,就是说密码填写错了阿,仔细检查打包配置文件,发现...
SpringBoot配置Https请求运行tomcat启动失败,ssl keystore password was incorrect
天上飞的云传奇
08-01 5710
【SSL】如何使用SpringBoot内置的tomcat配置SSL,从而实现HTTPS访问(基于阿里云云服务器) 下载完成需要配置之后,一样的yml格式错 ssl keystore password was incorrect 密钥读取错误解决:换成application.properties格式的就可以了 server.port=443 server.ssl.key-store=6046692_www.wdetian0918.icu.pfx server.ssl.key-password=dz7Qu
Keystore was tampered with or password was incorrect
weixin_30617737的博客
02-07 899
今天弄tomcat双向认证的时候启动tomcat出现这个错误,发现有可能是在设置common name的时候没有设置相应的ip,而是随便写了个值。改正后又出现错误failed to decrypt safe contents entry。网上查了下发现有可能是密码设置得不准确,设置太短的缘故,重新生成证书将密码设置到大于6位,启动tomcat,没有错了! 转载于:https://www.cnb...
安卓打包,密码确定正确,但是打包时仍然错Keystore was tampered with, or password was incorrect
weixin_42122126的博客
08-07 1205
作为一个刚刚接触android studio 的小白,第一次打包项目,就遇到了这个问题,百度后发现都是让删除debug.keystore,或这重新生成kts文件,都已经试过了,还是不行。5、使用正确的密码,在androidstudio,打包项目,仍然提示Keystore was tampered with, or password was incorrect。此时可以确定,密码正确,jdk版本没问题。解决方式:在android studio 中,使用新的jdk重新生成 jks文件,问题得到解决
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值