java.security.cert

クラス X509CertSelector

java.lang.Object

java.security.cert.X509CertSelector

すべての実装されたインタフェース:

Cloneable, CertSelector

public class X509CertSelector
extends Object
implements CertSelector

指定した基準すべてに一致する X509Certificates を選択する CertSelector です。このクラスは、PKIX 準拠の証明書パスを構築するために CertStore から証明書を選択するときに、特に役立ちます。

最初に構築された X509CertSelector には有効な基準が含まれていないため、各 get メソッドはデフォルト値 (null。getBasicConstraints メソッドの場合は -1) を返します。したがって、match メソッドは、X509Certificate に対して true を返します。通常、X509CertSelector は、setIssuer や setKeyUsage を呼び出していくつかの基準を有効にしたあと、CertStore.getCertificates や類似のメソッドに渡されます。

match メソッドが通常的に単一の X509Certificate と一意に一致するように、いくつかの基準を (たとえば setIssuer や setSerialNumber を呼び出すことで) 有効にできます。通常、2 つの発行 CA で同じ識別名を持つことができるため、それぞれは同じシリアル番号で証明書を発行します。ほかの一意の組み合わせには、発行者、サブジェクト、subjectKeyIdentifier そして subjectPublicKey 基準が含まれます。

これから説明する X.509 証明書機能拡張の定義については、RFC 3280「Internet X.509 Public Key Infrastructure Certificate and CRL Profile」を参照してください。

並行アクセス

特に断らないかぎり、このクラスで定義されているメソッドはスレッドセーフではありません。単一のオブジェクトに並行アクセスする必要のある複数スレッドは、スレッド間で同期をとり、必要に応じてロックする必要があります。複数のスレッドがそれぞれ個別のオブジェクトを処理する場合、それらのスレッドは同期する必要はありません。

導入されたバージョン:

1.4

関連項目:

CertSelector, X509Certificate

コンストラクタのサマリー

コンストラクタ

コンストラクタと説明
X509CertSelector() X509CertSelector を作成します。

メソッドのサマリー

メソッド

修飾子と型	メソッドと説明
void	addPathToName(int type, byte[] name) pathToNames 基準値に名前を追加します。
void	addPathToName(int type, String name) pathToNames 基準値に名前を追加します。
void	addSubjectAlternativeName(int type, byte[] name) subjectAlternativeNames 基準値に名前を追加します。
void	addSubjectAlternativeName(int type, String name) subjectAlternativeNames 基準値に名前を追加します。
Object	clone() このオブジェクトの複製を返します。
byte[]	getAuthorityKeyIdentifier() authorityKeyIdentifier 基準値を返します。
int	getBasicConstraints() 基本制約に対する制約を返します。
X509Certificate	getCertificate() certificateEquals 基準値を返します。
Date	getCertificateValid() certificateValid 基準値を返します。
Set<String>	getExtendedKeyUsage() extendedKeyUsage 基準値を返します。
X500Principal	getIssuer() 発行者の基準値を X500Principal として返します。
byte[]	getIssuerAsBytes() 発行者の基準値をバイト配列として返します。
String	getIssuerAsString() バグ: 代わりに getIssuer() または getIssuerAsBytes() を使用してください。
boolean[]	getKeyUsage() keyUsage 基準値を返します。
boolean	getMatchAllSubjectAltNames() setSubjectAlternativeNames メソッドや addSubjectAlternativeName メソッドで指定された subjectAlternativeNames がすべて、または少なくとも 1 つ、X509Certificate に含まれていなければならないかどうかを示します。
byte[]	getNameConstraints() 名前制約の基準値を返します。
Collection<List<?>>	getPathToNames() pathToNames 基準値の複製を返します。
Set<String>	getPolicy() ポリシー基準値を返します。
Date	getPrivateKeyValid() privateKeyValid 基準値を返します。
BigInteger	getSerialNumber() serialNumber 基準値を返します。
X500Principal	getSubject() サブジェクトの基準値を X500Principal として返します。
Collection<List<?>>	getSubjectAlternativeNames() subjectAlternativeNames 基準値のコピーを返します。
byte[]	getSubjectAsBytes() サブジェクトの基準値をバイト配列として返します。
String	getSubjectAsString() バグ: 代わりに getSubject() または getSubjectAsBytes() を使用してください。
byte[]	getSubjectKeyIdentifier() subjectKeyIdentifier 基準値を返します。
PublicKey	getSubjectPublicKey() subjectPublicKey 基準値を返します。
String	getSubjectPublicKeyAlgID() subjectPublicKeyAlgID 基準値を返します。
boolean	match(Certificate cert) Certificate が選択されるかどうかを判断します。
void	setAuthorityKeyIdentifier(byte[] authorityKeyID) authorityKeyIdentifier 基準値を設定します。
void	setBasicConstraints(int minMaxPathLen) 基本制約に対する制約を設定します。
void	setCertificate(X509Certificate cert) certificateEquals 基準値を設定します。
void	setCertificateValid(Date certValid) certificateValid 基準値を設定します。
void	setExtendedKeyUsage(Set<String> keyPurposeSet) extendedKeyUsage 基準値を設定します。
void	setIssuer(byte[] issuerDN) 発行者の基準値を設定します。
void	setIssuer(String issuerDN) バグ: 代わりに setIssuer(X500Principal) または setIssuer(byte[]) を使用してください。
void	setIssuer(X500Principal issuer) 発行者の基準値を設定します。
void	setKeyUsage(boolean[] keyUsage) keyUsage 基準値を設定します。
void	setMatchAllSubjectAltNames(boolean matchAllNames) setSubjectAlternativeNames メソッドや addSubjectAlternativeName メソッドで指定されたすべての subjectAlternativeNames の照合を使用可能または使用不可にします。
void	setNameConstraints(byte[] bytes) 名前制約の基準値を設定します。
void	setPathToNames(Collection<List<?>> names) pathToNames 基準値を設定します。
void	setPolicy(Set<String> certPolicySet) ポリシー制約を設定します。
void	setPrivateKeyValid(Date privateKeyValid) privateKeyValid 基準値を設定します。
void	setSerialNumber(BigInteger serial) serialNumber 基準値を設定します。
void	setSubject(byte[] subjectDN) サブジェクトの基準値を設定します。
void	setSubject(String subjectDN) バグ: 代わりに setSubject(X500Principal) または setSubject(byte[]) を使用してください。
void	setSubject(X500Principal subject) サブジェクトの基準値を設定します。
void	setSubjectAlternativeNames(Collection<List<?>> names) subjectAlternativeNames 基準値を設定します。
void	setSubjectKeyIdentifier(byte[] subjectKeyID) subjectKeyIdentifier 基準値を設定します。
void	setSubjectPublicKey(byte[] key) subjectPublicKey 基準値を設定します。
void	setSubjectPublicKey(PublicKey key) subjectPublicKey 基準値を設定します。
void	setSubjectPublicKeyAlgID(String oid) subjectPublicKeyAlgID 基準値を設定します。
String	toString() CertSelector のプリント可能表現を返します。

クラス java.lang.Object から継承されたメソッド

equals, finalize, getClass, hashCode, notify, notifyAll, wait, wait, wait

コンストラクタの詳細

X509CertSelector

public X509CertSelector()

X509CertSelector を作成します。最初は条件が設定されていないため、どの X509Certificate でも一致します。

メソッドの詳細

setCertificate

public void setCertificate(X509Certificate cert)

certificateEquals 基準値を設定します。指定した X509Certificate は、match メソッドに渡された X509Certificate と同じでないといけません。null の場合、このチェックは行われません。

このメソッドは、単一の証明書と一致させる必要があるときに特に役立ちます。この certificateEquals 基準に加えてほかの基準を指定することも可能ですが、通常の場合そうすることは必要ないか、または実用的ではありません。

パラメータ:

cert - 一致させる X509Certificate。または null

関連項目:

getCertificate()

setSerialNumber

public void setSerialNumber(BigInteger serial)

serialNumber 基準値を設定します。指定したシリアル番号は、X509Certificate の証明書シリアル番号と一致する必要があります。null の場合、証明書シリアル番号は問われません。

パラメータ:

serial - 一致させる証明書シリアル番号。または null

関連項目:

getSerialNumber()

setIssuer

public void setIssuer(X500Principal issuer)

発行者の基準値を設定します。指定した識別名は、X509Certificate の発行者識別名と一致する必要があります。null の場合、発行者識別名は問われません。

パラメータ:

issuer - X500Principal としての識別名または null

導入されたバージョン:

1.5

setIssuer

public void setIssuer(String issuerDN)
               throws IOException

バグ: 代わりに setIssuer(X500Principal) または setIssuer(byte[]) を使用してください。このメソッドの実行結果を信用しないでください。 RFC 2253 文字列形式で記述された一部の識別名では、符号化情報の損失により、証明書の一致処理に失敗する可能性があるためです。

発行者の基準値を設定します。指定した識別名は、X509Certificate の発行者識別名と一致する必要があります。null の場合、発行者識別名は問われません。

issuerDN が null でない場合は、RFC 2253 形式で識別名が含まれなければいけません。

パラメータ:

issuerDN - RFC 2253 形式の識別名。または null

例外:

IOException - 構文解析エラーが発生した場合 (DN の不正な形式)

setIssuer

public void setIssuer(byte[] issuerDN)
               throws IOException

発行者の基準値を設定します。指定した識別名は、X509Certificate の発行者識別名と一致する必要があります。null の場合、発行者の基準値は無効になり、任意の発行者識別名と一致します。

issuerDN が null ではない場合、X.501 で定義されている DER 符号化された単一識別名が含まれる必要があります。この構造体の ASN.1 表記は次のようになります。

 Name ::= CHOICE {
   RDNSequence }

 RDNSequence ::= SEQUENCE OF RelativeDistinguishedName

 RelativeDistinguishedName ::=
   SET SIZE (1 .. MAX) OF AttributeTypeAndValue

 AttributeTypeAndValue ::= SEQUENCE {
   type     AttributeType,
   value    AttributeValue }

 AttributeType ::= OBJECT IDENTIFIER

 AttributeValue ::= ANY DEFINED BY AttributeType
 ....
 DirectoryString ::= CHOICE {
       teletexString           TeletexString (SIZE (1..MAX)),
       printableString         PrintableString (SIZE (1..MAX)),
       universalString         UniversalString (SIZE (1..MAX)),
       utf8String              UTF8String (SIZE (1.. MAX)),
       bmpString               BMPString (SIZE (1..MAX)) }
 

以後の変更から保護するために、ここで指定されるバイト配列は複製されています。

パラメータ:

issuerDN - ASN.1 DER 符号化形式による識別名を含むバイト配列。または null

例外:

IOException - 符号化エラーが発生した場合 (DN の不正な形式)

setSubject

public void setSubject(X500Principal subject)

サブジェクトの基準値を設定します。指定した識別名は、X509Certificate のサブジェクト識別名と一致する必要があります。null の場合、サブジェクト識別名は問われません。

パラメータ:

subject - X500Principal としての識別名または null

導入されたバージョン:

1.5

setSubject

public void setSubject(String subjectDN)
                throws IOException

バグ: 代わりに setSubject(X500Principal) または setSubject(byte[]) を使用してください。このメソッドの実行結果を信用しないでください。RFC 2253 文字列形式で記述された一部の識別名では、符号化情報の損失により、証明書の一致処理に失敗する可能性があるためです。

サブジェクトの基準値を設定します。指定した識別名は、X509Certificate のサブジェクト識別名と一致する必要があります。null の場合、サブジェクト識別名は問われません。

subjectDN が null でない場合は、RFC 2253 形式で識別名が含まれなければいけません。

パラメータ:

subjectDN - RFC 2253 形式の識別名。または null

例外:

IOException - 構文解析エラーが発生した場合 (DN の不正な形式)

setSubject

public void setSubject(byte[] subjectDN)
                throws IOException

サブジェクトの基準値を設定します。指定した識別名は、X509Certificate のサブジェクト識別名と一致する必要があります。null の場合、サブジェクト識別名は問われません。

subjectDN が null ではない場合、X.501 で定義されている DER 符号化された単一識別名が含まれる必要があります。この構造体の ASN.1 表記については、setIssuer(byte [] issuerDN) を参照してください。

パラメータ:

subjectDN - ASN.1 DER 形式による識別名を含むバイト配列。または null

例外:

IOException - 符号化エラーが発生した場合 (DN の不正な形式)

setSubjectKeyIdentifier

public void setSubjectKeyIdentifier(byte[] subjectKeyID)

subjectKeyIdentifier 基準値を設定します。X509Certificate には、その内容が指定した基準値と一致するような SubjectKeyIdentifier 機能拡張が含まれている必要があります。基準値が null の場合、subjectKeyIdentifier チェックは行われません。

subjectKeyID が null ではない場合、SubjectKeyIdentifier 機能拡張の値 (オブジェクト識別子、クリティカルの程度の設定、カプセル化された OCTET STRING は含まれない) の内容に対応する DER 符号化された値が 1 つ含まれる必要があります。この構造体の ASN.1 表記は次のとおりです。

 SubjectKeyIdentifier ::= KeyIdentifier

 KeyIdentifier ::= OCTET STRING
 

サブジェクトの鍵識別子の形式は標準で定義されていないため、サブジェクトの鍵識別子は X509CertSelector で構文解析されません。代わりに、バイトごとに比較することで、値が比較されます。

以後の変更から保護するために、ここで提供されるバイト配列は複製されています。

パラメータ:

subjectKeyID - サブジェクトの鍵識別子。または null

関連項目:

getSubjectKeyIdentifier()

setAuthorityKeyIdentifier

public void setAuthorityKeyIdentifier(byte[] authorityKeyID)

authorityKeyIdentifier 基準値を設定します。X509Certificate には、その内容が指定した基準値と一致するような AuthorityKeyIdentifier 機能拡張が含まれている必要があります。基準値が null の場合、authorityKeyIdentifier チェックは行われません。

authorityKeyID が null ではない場合、AuthorityKeyIdentifier 機能拡張の値 (オブジェクト識別子、クリティカルの程度の設定、カプセル化された OCTET STRING は含まれない) の内容に対応する DER 符号化された値が 1 つ含まれる必要があります。この構造体の ASN.1 表記は次のとおりです。

 AuthorityKeyIdentifier ::= SEQUENCE {
    keyIdentifier             [0] KeyIdentifier           OPTIONAL,
    authorityCertIssuer       [1] GeneralNames            OPTIONAL,
    authorityCertSerialNumber [2] CertificateSerialNumber OPTIONAL  }

 KeyIdentifier ::= OCTET STRING
 

権限の鍵識別子は X509CertSelector で構文解析されません。代わりに、バイトごとに比較することで、値が比較されます。

AuthorityKeyIdentifier の keyIdentifier フィールドが生成されると、通常、その値は発行者の証明書にある SubjectKeyIdentifier 機能拡張から取得されます。しかし、発行者の証明書での X509Certificate.getExtensionValue(<SubjectKeyIdentifier Object Identifier>) の結果が直接 setAuthorityKeyIdentifier の入力に使用されるとは限りません。これは、SubjectKeyIdentifier に含まれるものが KeyIdentifier の OCTET STRING だけであり、KeyIdentifier、GeneralNames、CertificateSerialNumber の SEQUENCE は含まれないためです。発行者の証明書での SubjectKeyIdentifier 機能拡張の値を使用するには、埋め込まれた KeyIdentifier OCTET STRING の値を抽出してから、DER でこの OCTET STRING を SEQUENCE 内に符号化します。SubjectKeyIdentifier の詳細は、setSubjectKeyIdentifier(byte[] subjectKeyID) を参照してください。

また、以後の変更から保護するために、ここで提供されるバイト配列は複製されています。

パラメータ:

authorityKeyID - 権限の鍵識別子。または null

関連項目:

getAuthorityKeyIdentifier()

setCertificateValid

public void setCertificateValid(Date certValid)

certificateValid 基準値を設定します。指定した日付は、X509Certificate の証明書有効期間内でなければいけません。null の場合、certificateValid のチェックは行われません。

以後の変更から保護するために、ここで提供される Date は複製されています。

パラメータ:

certValid - チェック対象の Date。または null

関連項目:

getCertificateValid()

setPrivateKeyValid

public void setPrivateKeyValid(Date privateKeyValid)

privateKeyValid 基準値を設定します。指定した日付は、X509Certificate の非公開鍵有効期間内でなければいけません。null の場合、privateKeyValid のチェックは行われません。

以後の変更から保護するために、ここで提供される Date は複製されています。

パラメータ:

privateKeyValid - チェック対象の Date。または null

関連項目:

getPrivateKeyValid()

setSubjectPublicKeyAlgID

public void setSubjectPublicKeyAlgID(String oid)
                              throws IOException

subjectPublicKeyAlgID 基準値を設定します。X509Certificate には、指定したアルゴリズムによるサブジェクトの公開鍵が含まれなければいけません。null の場合、subjectPublicKeyAlgID のチェックは行われません。

パラメータ:

oid - チェック対象のアルゴリズムのオブジェクト識別子 (OID)、または null。OID はピリオドで区切られた負でない整数の組で表される

例外:

IOException - 最初のコンポーネントが 0、1、2 のいずれでもなく、2 番目のコンポーネントが 39 よりも大きいというように、OID が無効の場合

関連項目:

getSubjectPublicKeyAlgID()

setSubjectPublicKey

public void setSubjectPublicKey(PublicKey key)

subjectPublicKey 基準値を設定します。X509Certificate には、指定したサブジェクトの公開鍵が含まれなければいけません。null の場合、subjectPublicKey のチェックは行われません。

パラメータ:

key - チェック対象のサブジェクトの公開鍵。または null

関連項目:

getSubjectPublicKey()

setSubjectPublicKey

public void setSubjectPublicKey(byte[] key)
                         throws IOException

subjectPublicKey 基準値を設定します。X509Certificate には、指定したサブジェクトの公開鍵が含まれなければいけません。null の場合、subjectPublicKey のチェックは行われません。

このメソッドでは公開鍵をバイト配列として指定できるため、不明な鍵タイプに対して使うことができます。

key が null ではない場合、X.509 で定義されている DER 符号化された SubjectPublicKeyInfo 構造体が含まれている必要があります。この構造体の ASN.1 表記は次のようになります。

 SubjectPublicKeyInfo  ::=  SEQUENCE  {
   algorithm            AlgorithmIdentifier,
   subjectPublicKey     BIT STRING  }

 AlgorithmIdentifier  ::=  SEQUENCE  {
   algorithm               OBJECT IDENTIFIER,
   parameters              ANY DEFINED BY algorithm OPTIONAL  }
                              -- contains a value of the type
                              -- registered for use with the
                              -- algorithm object identifier value
 

以後の変更から保護するために、ここで提供されるバイト配列は複製されています。

パラメータ:

key - ASN.1 DER 形式によるサブジェクトの公開鍵を含むバイト配列。または null

例外:

IOException - 符号化エラーが発生した場合 (サブジェクトの公開鍵の不正な形式)

関連項目:

getSubjectPublicKey()

setKeyUsage

public void setKeyUsage(boolean[] keyUsage)

keyUsage 基準値を設定します。指定した keyUsage の値が X509Certificate で有効になっている必要があります。null の場合、keyUsage の確認は行われません。keyUsage 機能拡張のない X509Certificate では、すべての keyUsage の値が暗黙的に有効です。

以後の変更から保護するために、ここで提供される boolean 型配列は複製されています。

パラメータ:

keyUsage - X509Certificate.getKeyUsage() によって返される boolean 型配列と同じ形式の boolean 型配列。または null

関連項目:

getKeyUsage()

setExtendedKeyUsage

public void setExtendedKeyUsage(Set<String> keyPurposeSet)
                         throws IOException

extendedKeyUsage 基準値を設定します。指定した鍵目的が X509Certificate の拡張鍵使用法の拡張機能で有効になっている必要があります。keyPurposeSet が空か null の場合、extendedKeyUsage のチェックは行われません。extendedKeyUsage 拡張機能のない X509Certificate では、すべての鍵目的が暗黙的に有効です。

以後の変更から保護するために、Set は複製されています。

パラメータ:

keyPurposeSet - 文字列形式の鍵目的 OID の Set、または null。各 OID はピリオドで区切られた負でない整数の組で表される

例外:

IOException - 最初のコンポーネントが 0、1、2 のいずれでもなく、2 番目のコンポーネントが 39 よりも大きいというように、OID が無効の場合

関連項目:

getExtendedKeyUsage()

setMatchAllSubjectAltNames

public void setMatchAllSubjectAltNames(boolean matchAllNames)

setSubjectAlternativeNames メソッドや addSubjectAlternativeName メソッドで指定されたすべての subjectAlternativeNames の照合を使用可能または使用不可にします。使用可能な場合、指定したサブジェクトの代替名がすべて X509Certificate に含まれていなければいけません。使用不可の場合、指定したサブジェクトの代替名が少なくとも 1 つ X509Certificate に含まれていなければいけません。

デフォルトで matchAllNames フラグは true です。

パラメータ:

matchAllNames - true の場合はフラグを使用可能にし、false の場合は使用不可にする

関連項目:

getMatchAllSubjectAltNames()

setSubjectAlternativeNames

public void setSubjectAlternativeNames(Collection<List<?>> names)
                                throws IOException

subjectAlternativeNames 基準値を設定します。X509Certificate には、subjectAlternativeNames フラグの値に応じて、指定した subjectAlternativeNames のすべて、または少なくとも 1 つが含まれている必要があります (setMatchAllSubjectAltNames を参照)。

このメソッドを使用すると、1 回のメソッド呼び出しで、呼び出し側が subjectAlternativeNames 基準値に対するサブジェクトの代替名の完全なセットを指定できます。指定した値で subjectAlternativeNames 基準値の前の値が置き換えられます。

null でない names パラメータは、サブジェクトの代替名基準値に含まれている名前ごとに 1 エントリとなる Collection になります。各エントリは List で、その最初のエントリは Integer (名前タイプ、0-8)、2 番目のエントリは String かバイト配列 (それぞれが文字列形式または ASN.1 DER 符号化形式の名前) になります。同じタイプに複数の名前が存在することもあります。この引数の値として null が指定された場合、subjectAlternativeNames のチェックは行われません。

Collection 内の各サブジェクトの代替名は、String または ASN.1 符号化バイト配列として指定できます。使用される形式の詳細は、addSubjectAlternativeName(int type, String name) および addSubjectAlternativeName(int type, byte [] name) を参照してください。

注:識別名は、文字列形式ではなくバイト配列形式で指定してください。詳細は、「addSubjectAlternativeName(int, String)」の注を参照してください。

names パラメータには重複した名前 (同じ名前および名前タイプ) が含まれていますが、この識別名は getSubjectAlternativeNames メソッドで返された名前の Collection から削除できます。

以後の変更から保護するために、Collection にディープコピーが行われます。

パラメータ:

names - 名前の Collection。または null

例外:

IOException - 構文解析エラーが発生した場合

関連項目:

getSubjectAlternativeNames()

addSubjectAlternativeName

public void addSubjectAlternativeName(int type,
                             String name)
                               throws IOException

subjectAlternativeNames 基準値に名前を追加します。X509Certificate には、subjectAlternativeNames フラグの値に応じて、指定した subjectAlternativeNames のすべて、または少なくとも 1 つが含まれている必要があります (setMatchAllSubjectAltNames を参照)。

このメソッドでは、呼び出し側が名前をサブジェクトの代替名のセットに追加できます。指定した名前は、subjectAlternativeNames 基準で先に存在する値に追加されます。指定した名前が重複する場合は無視されます。

名前は文字列形式で与えられます。RFC 822、DNS、URI の各名前では、RFC 3280 に含まれる制限に従って、明確に定義された文字列形式が用いられます。IPv4 アドレス名はドットで 4 つに区切られた表記法が使用されます。OID 名は、ピリオドで区切られた負にならない一連の整数として表されます。ディレクトリ名 (識別名) は RFC 2253 文字列形式になります。otherName、X.400 名、EDI 相手名、IPv6 アドレス名、そのほかのタイプの名前には、標準の文字列形式はありません。これらは、addSubjectAlternativeName(int type, byte [] name) メソッドを使用して指定するようにしてください。

注:識別名については、代わりに addSubjectAlternativeName(int, byte[]) を使用してください。このメソッドの実行結果を信用しないでください。RFC 2253 文字列形式で記述された一部の識別名では、符号化情報の損失により、証明書の一致処理に失敗する可能性があるためです。

パラメータ:

type - 名前のタイプ (0-8、RFC 3280 のセクション 4.2.1.7 で指定されている)

name - 文字列形式の名前。null ではない

例外:

IOException - 構文解析エラーが発生した場合

addSubjectAlternativeName

public void addSubjectAlternativeName(int type,
                             byte[] name)
                               throws IOException

subjectAlternativeNames 基準値に名前を追加します。X509Certificate には、subjectAlternativeNames フラグの値に応じて、指定した subjectAlternativeNames のすべて、または少なくとも 1 つが含まれている必要があります (setMatchAllSubjectAltNames を参照)。

このメソッドでは、呼び出し側が名前をサブジェクトの代替名のセットに追加できます。指定した名前は、subjectAlternativeNames 基準で先に存在する値に追加されます。指定した名前が重複する場合は無視されます。

名前はバイト配列で指定されます。このバイト配列には、RFC 3280 と X.509 で定義されている GeneralName 構造体にあるような、DER 符号化した名前が含まれている必要があります。符号化されたバイト配列には名前の符号化された値だけが含まれている必要があり、GeneralName 構造体の名前に関連付けられたタグが含まれていてはいけません。NameConstraints 構造体の ASN.1 定義は次のとおりです。

  GeneralName ::= CHOICE {
       otherName                       [0]     OtherName,
       rfc822Name                      [1]     IA5String,
       dNSName                         [2]     IA5String,
       x400Address                     [3]     ORAddress,
       directoryName                   [4]     Name,
       ediPartyName                    [5]     EDIPartyName,
       uniformResourceIdentifier       [6]     IA5String,
       iPAddress                       [7]     OCTET STRING,
       registeredID                    [8]     OBJECT IDENTIFIER}
 

以後の変更から保護するために、ここで提供されるバイト配列は複製されています。

パラメータ:

type - 名前のタイプ (0 - 8、上記のとおり)

name - ASN.1 DER 符号化形式による名前を含むバイト配列

例外:

IOException - 構文解析エラーが発生した場合

setNameConstraints

public void setNameConstraints(byte[] bytes)
                        throws IOException

名前制約の基準値を設定します。X509Certificate には、指定した名前制約を満たすようなサブジェクトとサブジェクトの代替名がなければいけません。

名前制約はバイト配列で指定されます。このバイト配列には、RFC 3280 と X.509 で定義されている NameConstraints 構造体にあるような名前制約の DER 符号化形式が含まれなければいけません。NameConstraints 構造体の ASN.1 定義は次のとおりです。

  NameConstraints ::= SEQUENCE {
       permittedSubtrees       [0]     GeneralSubtrees OPTIONAL,
       excludedSubtrees        [1]     GeneralSubtrees OPTIONAL }

  GeneralSubtrees ::= SEQUENCE SIZE (1..MAX) OF GeneralSubtree

  GeneralSubtree ::= SEQUENCE {
       base                    GeneralName,
       minimum         [0]     BaseDistance DEFAULT 0,
       maximum         [1]     BaseDistance OPTIONAL }

  BaseDistance ::= INTEGER (0..MAX)

  GeneralName ::= CHOICE {
       otherName                       [0]     OtherName,
       rfc822Name                      [1]     IA5String,
       dNSName                         [2]     IA5String,
       x400Address                     [3]     ORAddress,
       directoryName                   [4]     Name,
       ediPartyName                    [5]     EDIPartyName,
       uniformResourceIdentifier       [6]     IA5String,
       iPAddress                       [7]     OCTET STRING,
       registeredID                    [8]     OBJECT IDENTIFIER}
 

以後の変更から保護するために、ここで提供されるバイト配列は複製されています。

パラメータ:

bytes - 名前制約をチェックするために使用される NameConstraints 拡張情報を ASN.1 DER で符号化した値を含むバイト配列。拡張情報の値だけが含まれ、OID やクリティカルの程度を表すフラグは含まれない。名前制約のチェックを行わない場合は null にする。

例外:

IOException - 構文解析エラーが発生した場合

関連項目:

getNameConstraints()

setBasicConstraints

public void setBasicConstraints(int minMaxPathLen)

基本制約に対する制約を設定します。この値が 0 以上の場合、この値以上の pathLen を持つ basicConstraints 機能拡張が X509Certificates に含まれている必要があります。値が -2 の場合、エンドエンティティーの証明書だけが許容されます。-1 の場合、チェックは行われません。

順方向 (ターゲットからトラストアンカーへ) の証明書パスを構築するときに、この制約は役立ちます。パスが部分的に構築されている場合、候補証明書の maxPathLen 値は部分パス内の証明書数以上でなければいけません。

パラメータ:

minMaxPathLen - 基本制約に対する制約の値

例外:

IllegalArgumentException - 値が -2 未満の場合

関連項目:

getBasicConstraints()

setPolicy

public void setPolicy(Set<String> certPolicySet)
               throws IOException

ポリシー制約を設定します。X509Certificate には、その証明書ポリシー拡張機能内に指定したポリシーが少なくとも 1 つ含まれている必要があります。certPolicySet が空の場合、X509Certificate には、その証明書ポリシー機能拡張内に指定したポリシーが複数含まれている必要があります。certPolicySet が null の場合、ポリシーのチェックは行われません。

以後の変更から保護するために、Set は複製されています。

パラメータ:

certPolicySet - 文字列形式の証明書ポリシー OID の Set、または null。各 OID はピリオドで区切られた負でない整数の組で表される

例外:

IOException - 最初のコンポーネントが 0、1、2 のどれでもなく、2 番目のコンポーネントが 39 よりも大きいというように、OID の構文解析エラーが発生した場合

関連項目:

getPolicy()

setPathToNames

public void setPathToNames(Collection<List<?>> names)
                    throws IOException

pathToNames 基準値を設定します。指定した名前へのパスを構築できないような名前制約が X509Certificate に含まれてはいけません。

このメソッドを使用すると、1 回のメソッド呼び出しで、呼び出し側が X509Certificates の名前制約が許容される必要のある、名前の完全なセットを指定できます。指定した値は pathToNames 基準値の前の値を置き換えます。

順方向 (ターゲットからトラストアンカーへ) の証明書パスを構築するときに、この制約は役立ちます。パスが部分的に構築されている場合、候補証明書の名前制約は部分パス内の名前へのパスを構築できない制約ではいけません。

null でない names パラメータは、pathToNames 基準値に含まれている名前ごとに 1 エントリとなる Collection になります。各エントリは List で、その最初のエントリは Integer (名前タイプ、0-8)、2 番目のエントリは String かバイト配列 (それぞれが文字列形式または ASN.1 DER 符号化形式の名前) になります。同じタイプに複数の名前が存在することもあります。この引数の値として null が指定された場合、pathToNames のチェックは行われません。

Collection 内の各名前は、String か ASN.1 符号化バイト配列として指定できます。使用される形式の詳細は、addPathToName(int type, String name) および addPathToName(int type, byte [] name) を参照してください。

注:識別名は、文字列形式ではなくバイト配列形式で指定してください。詳細は、「addPathToName(int, String)」の注を参照してください。

names パラメータには重複した名前 (同じ名前および名前タイプ) が含まれていますが、この識別名は getPathToNames メソッドで返された名前の Collection から削除できます。

以後の変更から保護するために、Collection にディープコピーが行われます。

パラメータ:

names - 名前 1 つあたり 1 エントリの Collection。または null

例外:

IOException - 構文解析エラーが発生した場合

関連項目:

getPathToNames()

addPathToName

public void addPathToName(int type,
                 String name)
                   throws IOException

pathToNames 基準値に名前を追加します。指定した名前へのパスを構築できないような名前制約が X509Certificate に含まれてはいけません。

このメソッドでは、呼び出し側が名前を X509Certificates の名前制約が許容される必要のある、名前のセットに追加できます。指定した名前は、pathToNames 基準値で先に存在する値に追加されます。名前が重複する場合は無視されます。

名前は文字列形式で与えられます。RFC 822、DNS、URI の各名前では、RFC 3280 に含まれる制限に従って、明確に定義された文字列形式が用いられます。IPv4 アドレス名はドットで 4 つに区切られた表記法が使用されます。OID 名は、ピリオドで区切られた負にならない一連の整数として表されます。ディレクトリ名 (識別名) は RFC 2253 文字列形式になります。otherName、X.400 名、EDI 相手名、IPv6 アドレス名、そのほかのタイプの名前には、標準の文字列形式はありません。これらは、addPathToName(int type, byte [] name) メソッドを使用して指定するようにしてください。

注:識別名については、代わりに addPathToName(int, byte[]) を使用してください。このメソッドの実行結果を信用しないでください。RFC 2253 文字列形式で記述された一部の識別名では、符号化情報の損失により、証明書の一致処理に失敗する可能性があるためです。

パラメータ:

type - 名前のタイプ (0-8、RFC 3280 のセクション 4.2.1.7 で指定されている)

name - 文字列形式の名前

例外:

IOException - 構文解析エラーが発生した場合

addPathToName

public void addPathToName(int type,
                 byte[] name)
                   throws IOException

pathToNames 基準値に名前を追加します。指定した名前へのパスを構築できないような名前制約が X509Certificate に含まれてはいけません。

このメソッドでは、呼び出し側が名前を X509Certificates の名前制約が許容される必要のある、名前のセットに追加できます。指定した名前は、pathToNames 基準値で先に存在する値に追加されます。名前が重複する場合は無視されます。

名前はバイト配列で指定されます。このバイト配列には、RFC 3280 と X.509 で定義されている GeneralName 構造体にあるような、DER 符号化した名前が含まれている必要があります。この構造体の ASN.1 定義は、addSubjectAlternativeName(int type, byte [] name) で説明しています。

以後の変更から保護するために、ここで提供されるバイト配列は複製されています。

パラメータ:

type - 名前のタイプ (0-8、RFC 3280 のセクション 4.2.1.7 で指定されている)

name - ASN.1 DER 符号化形式による名前を含むバイト配列

例外:

IOException - 構文解析エラーが発生した場合

getCertificate

public X509Certificate getCertificate()

certificateEquals 基準値を返します。指定した X509Certificate は、match メソッドに渡された X509Certificate と同じでないといけません。null の場合、このチェックは行われません。

戻り値:

一致させる X509Certificate。または null

関連項目:

setCertificate(java.security.cert.X509Certificate)

getSerialNumber

public BigInteger getSerialNumber()

serialNumber 基準値を返します。指定したシリアル番号は、X509Certificate の証明書シリアル番号と一致する必要があります。null の場合、証明書シリアル番号は問われません。

戻り値:

一致させる証明書シリアル番号。または null

関連項目:

setSerialNumber(java.math.BigInteger)

getIssuer

public X500Principal getIssuer()

発行者の基準値を X500Principal として返します。この識別名は、X509Certificate の発行者識別名と一致する必要があります。null の場合、発行者の基準値は無効になり、発行者識別名は問われません。

戻り値:

要求された発行者の X500Principal としての識別名または null

導入されたバージョン:

1.5

getIssuerAsString

public String getIssuerAsString()

バグ: 代わりに getIssuer() または getIssuerAsBytes() を使用してください。このメソッドの実行結果を信用しないでください。RFC 2253 文字列形式で記述された一部の識別名では、符号化情報の損失により、証明書の一致処理に失敗する可能性があるためです。

発行者の基準値を String として返します。この識別名は、X509Certificate の発行者識別名と一致する必要があります。null の場合、発行者の基準値は無効になり、発行者識別名は問われません。

返された値が null でない場合は、RFC 2253 形式の識別名になります。

戻り値:

要求された発行者の RFC 2253 形式の識別名。または null

getIssuerAsBytes

public byte[] getIssuerAsBytes()
                        throws IOException

発行者の基準値をバイト配列として返します。この識別名は、X509Certificate の発行者識別名と一致する必要があります。null の場合、発行者の基準値は無効になり、発行者識別名は問われません。

返された値が null ではない場合、X.501 で定義されている DER 符号化された単一識別名を含むバイト配列になります。この構造体の ASN.1 表記については、setIssuer(byte [] issuerDN) のドキュメントを参照してください。

以降の変更から保護するために、返されるバイト配列の複製が作成されます。

戻り値:

ASN.1 DER 形式による要求された発行者の識別名を含むバイト配列。または null

例外:

IOException - 符号化エラーが発生した場合

getSubject

public X500Principal getSubject()

サブジェクトの基準値を X500Principal として返します。この識別名は、X509Certificate のサブジェクト識別名と一致する必要があります。null の場合、サブジェクトの基準値は無効になり、サブジェクト識別名は問われません。

戻り値:

要求されたサブジェクトの X500Principal としての識別名または null

導入されたバージョン:

1.5

getSubjectAsString

public String getSubjectAsString()

バグ: 代わりに getSubject() または getSubjectAsBytes() を使用してください。このメソッドの実行結果を信用しないでください。RFC 2253 文字列形式で記述された一部の識別名では、符号化情報の損失により、証明書の一致処理に失敗する可能性があるためです。

サブジェクトの基準値を String として返します。この識別名は、X509Certificate のサブジェクト識別名と一致する必要があります。null の場合、サブジェクトの基準値は無効になり、サブジェクト識別名は問われません。

返された値が null でない場合は、RFC 2253 形式の識別名になります。

戻り値:

要求されたサブジェクトの RFC 2253 形式の識別名。または null

getSubjectAsBytes

public byte[] getSubjectAsBytes()
                         throws IOException

サブジェクトの基準値をバイト配列として返します。この識別名は、X509Certificate のサブジェクト識別名と一致する必要があります。null の場合、サブジェクトの基準値は無効になり、サブジェクト識別名は問われません。

返された値が null ではない場合、X.501 で定義されている DER 符号化された単一識別名を含むバイト配列になります。この構造体の ASN.1 表記については、setSubject(byte [] subjectDN) のドキュメントを参照してください。

以降の変更から保護するために、返されるバイト配列の複製が作成されます。

戻り値:

ASN.1 DER 形式による要求されたサブジェクトの識別名を含むバイト配列。または null

例外:

IOException - 符号化エラーが発生した場合

getSubjectKeyIdentifier

public byte[] getSubjectKeyIdentifier()

subjectKeyIdentifier 基準値を返します。X509Certificate には、指定した値を持つ SubjectKeyIdentifier 機能拡張が含まれる必要があります。null の場合、subjectKeyIdentifier のチェックは行われません。

以降の変更から保護するために、返されるバイト配列の複製が作成されます。

戻り値:

鍵識別子。または null

関連項目:

setSubjectKeyIdentifier(byte[])

getAuthorityKeyIdentifier

public byte[] getAuthorityKeyIdentifier()

authorityKeyIdentifier 基準値を返します。X509Certificate には、指定した値を持つ AuthorityKeyIdentifier 機能拡張が含まれる必要があります。null の場合、authorityKeyIdentifier のチェックは行われません。

以降の変更から保護するために、返されるバイト配列の複製が作成されます。

戻り値:

鍵識別子。または null

関連項目:

setAuthorityKeyIdentifier(byte[])

getCertificateValid

public Date getCertificateValid()

certificateValid 基準値を返します。指定した日付は、X509Certificate の証明書有効期間内でなければいけません。null の場合、certificateValid のチェックは行われません。

以後の変更から保護するために、返される Date は複製されています。

戻り値:

チェック対象の Date。または null

関連項目:

setCertificateValid(java.util.Date)

getPrivateKeyValid

public Date getPrivateKeyValid()

privateKeyValid 基準値を返します。指定した日付は、X509Certificate の非公開鍵有効期間内でなければいけません。null の場合、privateKeyValid のチェックは行われません。

以後の変更から保護するために、返される Date は複製されています。

戻り値:

チェック対象の Date。または null

関連項目:

setPrivateKeyValid(java.util.Date)

getSubjectPublicKeyAlgID

public String getSubjectPublicKeyAlgID()

subjectPublicKeyAlgID 基準値を返します。X509Certificate には、指定したアルゴリズムによるサブジェクトの公開鍵が含まれなければいけません。null の場合、subjectPublicKeyAlgID のチェックは行われません。

戻り値:

チェック対象の署名アルゴリズムのオブジェクト識別子 (OID)、または null。OID はピリオドで区切られた負でない整数の組で表される

関連項目:

setSubjectPublicKeyAlgID(java.lang.String)

getSubjectPublicKey

public PublicKey getSubjectPublicKey()

subjectPublicKey 基準値を返します。X509Certificate には、指定したサブジェクトの公開鍵が含まれなければいけません。null の場合、subjectPublicKey のチェックは行われません。

戻り値:

チェック対象のサブジェクトの公開鍵。または null

関連項目:

setSubjectPublicKey(java.security.PublicKey)

getKeyUsage

public boolean[] getKeyUsage()

keyUsage 基準値を返します。指定した keyUsage の値が X509Certificate で有効になっている必要があります。null の場合、keyUsage の確認は行われません。

以後の変更から保護するために、返される boolean 型配列は複製されています。

戻り値:

X509Certificate.getKeyUsage() によって返される boolean 型配列と同じ形式の boolean 型配列。または null

関連項目:

setKeyUsage(boolean[])

getExtendedKeyUsage

public Set<String> getExtendedKeyUsage()

extendedKeyUsage 基準値を返します。指定した鍵目的が X509Certificate の拡張鍵使用法の拡張機能で有効になっている必要があります。返される keyPurposeSet が空か null の場合、extendedKeyUsage のチェックは行われません。extendedKeyUsage 拡張機能のない X509Certificate では、すべての鍵目的が暗黙的に有効です。

戻り値:

文字列形式の鍵目的 OID の不変の Set、または null

関連項目:

setExtendedKeyUsage(java.util.Set<java.lang.String>)

getMatchAllSubjectAltNames

public boolean getMatchAllSubjectAltNames()

setSubjectAlternativeNames メソッドや addSubjectAlternativeName メソッドで指定された subjectAlternativeNames がすべて、または少なくとも 1 つ、X509Certificate に含まれていなければならないかどうかを示します。true の場合、指定したサブジェクトの代替名がすべて X509Certificate に含まれていなければいけません。false の場合、指定したサブジェクトの代替名が少なくとも 1 つ X509Certificate に含まれていなければいけません。

戻り値:

フラグが使用可能な場合は true、使用不可の場合は false。フラグはデフォルトでは true です。

関連項目:

setMatchAllSubjectAltNames(boolean)

getSubjectAlternativeNames

public Collection<List<?>> getSubjectAlternativeNames()

subjectAlternativeNames 基準値のコピーを返します。X509Certificate には、subjectAlternativeNames フラグの値に応じて、指定した subjectAlternativeNames のすべて、または少なくとも 1 つが含まれている必要があります (getMatchAllSubjectAltNames を参照)。返された値が null の場合、subjectAlternativeNames のチェックは行われません。

返される値が null ではない場合、サブジェクトの代替名基準値に含まれている名前ごとに 1 エントリとなる Collection になります。各エントリは List で、その最初のエントリは Integer (名前タイプ、0-8)、2 番目のエントリは String かバイト配列 (それぞれが文字列形式または ASN.1 DER 符号化形式の名前) になります。同じタイプに複数の名前が存在することもあります。返される Collection には重複した名前 (同じ名前と名前タイプ) が含まれることもあります。

Collection 内の各サブジェクトの代替名は、String または ASN.1 符号化バイト配列として指定できます。使用される形式の詳細は、addSubjectAlternativeName(int type, String name) および addSubjectAlternativeName(int type, byte [] name) を参照してください。

以後の変更から保護するために、Collection にディープコピーが行われます。

戻り値:

名前の Collection。または null

関連項目:

setSubjectAlternativeNames(java.util.Collection<java.util.List<?>>)

getNameConstraints

public byte[] getNameConstraints()

名前制約の基準値を返します。X509Certificate には、指定した名前制約を満たすようなサブジェクトとサブジェクトの代替名がなければいけません。

名前制約はバイト配列で返されます。このバイト配列には、RFC 3280 と X.509 で定義されている NameConstraints 構造体にあるような、名前制約の DER 符号化形式が含まれています。この構造体の ASN.1 表記については、setNameConstraints(byte [] bytes) のドキュメントを参照してください。

以降の変更から保護するために、返されるバイト配列の複製が作成されます。

戻り値:

名前制約をチェックするために使用される NameConstraints 拡張情報を ASN.1 DER で符号化した値を含むバイト配列。名前制約のチェックを行わない場合は null

関連項目:

setNameConstraints(byte[])

getBasicConstraints

public int getBasicConstraints()

基本制約に対する制約を返します。この値が 0 以上の場合、この値以上の pathLen を持つ basicConstraints 機能拡張が X509Certificates に含まれている必要があります。値が -2 の場合、エンドエンティティーの証明書だけが許容されます。-1 の場合、basicConstraints のチェックは行われません。

戻り値:

基本制約に対する制約の値

関連項目:

setBasicConstraints(int)

getPolicy

public Set<String> getPolicy()

ポリシー基準値を返します。X509Certificate には、その証明書ポリシー拡張機能内に指定したポリシーが少なくとも 1 つ含まれている必要があります。返された Set が空の場合、X509Certificate には、その証明書ポリシー機能拡張内に指定したポリシーが複数含まれている必要があります。返された Set が null の場合、ポリシーのチェックは行われません。

戻り値:

文字列形式による鍵目的 OID の不変の Set、または null

関連項目:

setPolicy(java.util.Set<java.lang.String>)

getPathToNames

public Collection<List<?>> getPathToNames()

pathToNames 基準値の複製を返します。指定した名前へのパスを構築できないような名前制約が X509Certificate に含まれてはいけません。返された値が null の場合、pathToNames のチェックは行われません。

返される値が null でない場合、pathToNames 基準値に含まれている名前ごとに 1 エントリとなる Collection になります。各エントリは List で、その最初のエントリは Integer (名前タイプ、0-8)、2 番目のエントリは String かバイト配列 (それぞれが文字列形式または ASN.1 DER 符号化形式の名前) になります。同じタイプに複数の名前が存在することもあります。返される Collection には重複した名前 (同じ名前と名前タイプ) が含まれることもあります。

Collection 内の各名前は、String か ASN.1 符号化バイト配列として指定できます。使用される形式の詳細は、addPathToName(int type, String name) および addPathToName(int type, byte [] name) を参照してください。

以後の変更から保護するために、Collection にディープコピーが行われます。

戻り値:

名前の Collection。または null

関連項目:

setPathToNames(java.util.Collection<java.util.List<?>>)

toString

public String toString()

CertSelector のプリント可能表現を返します。

オーバーライド:

toString、クラス: Object

戻り値:

この CertSelector の内容を表す String

match

public boolean match(Certificate cert)

Certificate が選択されるかどうかを判断します。

定義:

match、インタフェース: CertSelector

パラメータ:

cert - チェック対象の Certificate

戻り値:

Certificate が選択される場合は true、そうでない場合は false

clone

public Object clone()

このオブジェクトの複製を返します。

定義:

clone、インタフェース: CertSelector

オーバーライド:

clone、クラス: Object

戻り値:

コピー

関連項目:

Cloneable