X.509証明書のSHA-1指紋の計算方法は？

Question

私は最初からX.509証明書ジェネレータを実装しようとしています（私は既存のものについて知っていますが、もう1つは必要です）。私が理解できないのは、証明書のSHA-1（またはその他の）指紋を計算する方法です。

RFC5280は、署名機能への入力が、DERでエンコードされたtbsCertificateフィールドであることを示します。残念ながら、私が計算するハッシュは、OpenSSLによって生成されたハッシュとは異なります。ここにステップバイステップの例があります。

1. のOpenSSLのX509ツールを使用して証明書を生成する（バイナリDER形式で、ない ASCII PEM）
2. DDを用いてTBSフィールドを抽出openssl x509 -fingerprint
3. を使用して、SHA-1ハッシュを計算する（または何かそれ以外のファイルに保存してください。 sha1sumユーティリティを使用してそのハッシュを計算してください

ここで、ステップ2と3で得られるハッシュは異なります。誰かが私に間違っているかもしれないことをヒントを与えることができますか？

Answer 1

OK、これは、OpenSSLにより算出した指紋は、単に全体（そのDERバイナリエンコーディングでは、ない ASCII PEMの1！）証明書、TBSの部分だけではなく、オーバーハッシュであることが判明したので、私は思った。証明書のダイジェストを計算する気に誰のための

が、それは別の方法で行われます。ハッシュは、DERでエンコードされた（再び、ない PEM文字列）TBSの一部のみ、そのASNを含む上で計算されます。 1ヘッダー（ID 0x30 == ASN1_SEQUENCE | ASN1_CONSTRUCTEDと長さフィールド）。証明書のASN.1ヘッダーは考慮されていないことに注意してください。

Answer 2

フィンガープリントは、.netの用語 "Thumbprint"に似ています。コードスニペットの下に指紋を計算するためのお手伝いをする必要があります

public String generateFingerPrint(X509Certificate cert) throws CertificateEncodingException,NoSuchAlgorithmException { 

MessageDigest digest = MessageDigest.getInstance("SHA-1"); 
byte[] hash = digest.digest(cert.getEncoded[]); 

final char delimiter = ':'; 
// Calculate the number of characters in our fingerprint 
     // ('# of bytes' * 2) chars + ('# of bytes' - 1) chars for delimiters 
     final int len = hash.length * 2 + hash.length - 1; 
     // Typically SHA-1 algorithm produces 20 bytes, i.e. len should be 59 
     StringBuilder fingerprint = new StringBuilder(len); 

     for (int i = 0; i < hash.length; i++) { 
     // Step 1: unsigned byte 
     hash[i] &= 0xff; 

     // Steps 2 & 3: byte to hex in two chars 
     // Lower cased 'x' at '%02x' enforces lower cased char for hex value! 
     fingerprint.append(String.format("%02x", hash[i])); 

     // Step 4: put delimiter 
     if (i < hash.length - 1) { 
      fingerprint.append(delimiter); 
     } 
     } 

     return fingerprint.toString(); 


    }