本文介绍如何正确解析并解密 aws acm 导出的 pem 格式加密私钥(`-----begin encrypted private key-----`),解决因直接使用 `getbytes()` 忽略 pem 封装结构而导致的 `dervalue` 解析异常问题。
AWS ACM 服务导出的私钥默认采用 PKCS#8 加密格式,以 PEM 编码封装,形如:
-----BEGIN ENCRYPTED PRIVATE KEY----- MIIFLTBXBgkqhkiG9w0BBQ0wSjApBgkqhkiG9w0BBQwwHAQI5... (base64 content) -----END ENCRYPTED PRIVATE KEY-----
关键点在于:EncryptedPrivateKeyInfo 构造器接收的是 DER 编码的原始字节(即 PEM 内容 Base64 解码后的二进制数据),而非原始 PEM 文本字符串本身。原代码中直接调用 private_key.getBytes() 传入的是包含 -----BEGIN... 头尾标记和换行符的纯文本字节,导致 ASN.1 解析失败,抛出 java.io.IOException: extra data given to DerValue constructor。
✅ 正确做法是先用 PemReader(推荐使用 Bouncy Castle 的 org.bouncycastle.openssl.PemReader)提取 PEM 块内容,并 Base64 解码为 DER 字节流:
import org.bouncycastle.openssl.PemReader;
import java.io.StringReader;
import java.security.KeyFactory;
import java.security.PrivateKey;
import java.security.spec.EncodedKeySpec;
import javax.crypto.Cipher;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.PBEKeySpec;
import java.security.spec.PKCS8EncodedKeySpec;
import java.security.spec.AlgorithmParameters;
import java.security.spec.KeySpec;
public PrivateKey readPrivateKey(String privateKeyPem, String passphrase) throws Exception {
try (PemReader pemReader = new PemReader(new StringReader(privateKeyPem))) {
org.bouncycastle.openssl.PEMObject pemObject = pemReader.readPemObject();
if (pemObject == null) {
throw new IllegalArgumentException("Invalid PEM content: no PEM object found");
}
byte[] derBytes = pemObject.getContent(); // ✅ 自动完成 Base64 decode + strip headers
EncryptedPrivateKeyInfo encryptedInfo = new EncryptedPrivateKeyInfo(derBytes);
String algName = encryptedInfo.getAlgName();
Cipher cipher = Cipher.getInstance(algName);
PBEKeySpec keySpec = new PBEKeySpec(passphrase.toCharArray());
SecretKeyFactory keyFactory = SecretKeyFactory.getInstance(algName);
Key secretKey = keyFactory.generateSecret(keySpec);
AlgorithmParameters params = encryptedInfo.getAlgParameters();
cipher.init(Cipher.DECRYPT_MODE, secretKey, params);
KeySpec keySpecPKCS8 = encryptedInfo.getKeySpec(cipher);
KeyFactory kf = KeyFactory.getInstance("RSA"); // 若为 EC 私钥,改为 "EC"
return kf.generatePrivate(keySpecPKCS8);
}
}⚠️ 注意事项:
立即学习“Java免费学习笔记(深入)”;
-
依赖项:需引入 Bouncy Castle(如 bcprov-jdk18on 和 bcpkix-jdk18on),并在 Security Provider 中注册(可选,但推荐):
Security.addProvider(new BouncyCastleProvider());
- 算法兼容性:AWS ACM 通常使用 PBES2WithHmacSHA256AndAES_256 或 PBEWithSHA256And3-KeyTripleDES-CBC;确保 JRE/JDK 支持对应算法(Java 8+ 默认支持常见 PBE 算法,但部分 AES-GCM 变体需 BC 补充)。
- 密钥类型适配:若证书为 ECC 类型(如 secp256r1),应将 KeyFactory.getInstance("RSA") 替换为 KeyFactory.getInstance("EC")。
- 异常处理:生产环境请避免空 catch,应记录日志或转为受检异常(如 InvalidKeySpecException, NoSuchAlgorithmException)。
- 密码安全:切勿硬编码 passphrase;建议通过环境变量、密钥管理服务(如 AWS Secrets Manager)注入。
总结:解密 PEM 封装的加密私钥,核心在于「先解包 PEM → 再解析 DER」。跳过 PemReader 直接传入原始字符串是绝大多数 DerValue 异常的根源。借助 Bouncy Castle 的 PemReader 可健壮、简洁地完成这一转换,为后续标准 JCE 解密流程提供合规输入。
