我使用与客户端 - 鉴别一个Tomcat HTTP连接器。 如果客户端开始到我的服务器一个新的连接，并发送其证书，我可以拿到证书，并在我的Java代码读取输入证书的通用名称出来。 如果是的话，怎么样？

感谢ADI

您可以通过获取获取客户端证书链javax.servlet.request.X509Certificate属性对你HttpServletRequest 。 这是阵列X509Certificate小号其中第一个（位置0）是实际的客户端证书（如果需要中间CA证书链的其余部分可以存在）。

X509Certificate certs[] = 
    (X509Certificate[])req.getAttribute("javax.servlet.request.X509Certificate");
// ... Test if non-null, non-empty.

X509Certificate clientCert = certs[0];

// Get the Subject DN's X500Principal
X500Principal subjectDN = clientCert.getSubjectX500Principal();

然后，你可以在此主体（如CN）中所描述的各种的RDN（相对专有名称） 这样的回答 ：

import javax.naming.ldap.LdapName;
import javax.naming.ldap.Rdn;

String dn = subjectDN.getName();
LdapName ldapDN = new LdapName(dn);
for(Rdn rdn: ldapDN.getRdns()) {
    System.out.println(rdn.getType() + " -> " + rdn.getValue());
}

（你也可以使用BouncyCastle的的X509Name让每个RDN）。

在X.509证书中，主题DN是的RDN的有序序列，其每一个是一组的AVA（属性值断言），例如CN=...或O=... 。 原则上，可以有每个RDN多的AVA，这将导致这里的问题，但是这是非常罕见的。 你几乎可以假设有每个RDN只有一个AVA。 （也许， 这个答案可能会感兴趣。）

感谢mazaneicha：

        String cipherSuite = (String) req.getAttribute("javax.servlet.request.cipher_suite");

        if (cipherSuite != null) {
            X509Certificate certChain[] = (X509Certificate[]) req.getAttribute("javax.servlet.request.X509Certificate");
            if (certChain != null) {
                for (int i = 0; i < certChaNin.length; i++) {
                    System.out.println ("Client Certificate [" + i + "] = "
                            + certChain[i].toString());
                }
            }
        }