在签名jar文件时如何引入一级证书链?我想做的是,
,但不幸的是,它没有用,并发出了安全警告。
请提出一些好的方法。
答案 0 :(得分:0)
TLDR:首先获取证书
Java代码签名使用PKCS7 / CMS签名格式,wbich基于X.509 / PKIX公钥证书。您发布的序列会使用私钥,就像魔术出现一样,但这是不可能的。我敢打赌,您的顺序实际上是:
0。 keytool -genkeypair
尽管该名称着眼于'generate keypair',但该命令实际上执行三件事:生成密钥对;为该密钥对的公共部分创建一个虚拟的,自签名的证书;并将密钥对的两者和私有证书一起存储在密钥库(通常是文件)中。请注意,java.security.KeyStore API不支持单独存储私钥(或公钥或原始密钥对),而仅存储结合有证书链的私钥。 (伪证书本身构成一条微不足道的链。)为具体起见,我将此伪证书称为A。
1。用生成的私钥= jarsigner
您可以在密钥库中为jarsigner指定一个私钥条目,但如上所述,该条目实际上还包含证书链,在这种情况下为虚拟证书。 PKCS7 / CMS签名包含使用私钥计算得出的原始PKC签名(RSA,DSA或ECDSA),加上与该私钥匹配的证书,因此可用于验证签名以及任何链验证签名证书所需的证书。如果查看结果jar中META-INF/<alias>.{RSA,DSA,EC}条目的内容,就可以看到这一点。
2。生成CSR(证书签名请求)= keytool -certreq
3。生成CA签名证书,其中CA为自签名CA
您如何执行此操作取决于您的CA,但在这里无关紧要。确切地说,CA可能为CA密钥对的公用部分具有自签名的 cert ,但是如上所述,它实际上是使用专用部分对颁发的证书进行签名的。为了具体起见,我将称呼CA由 颁发的证书为签名密钥B,以及CA自己的自签名证书C。
4。在jcontrol和浏览器中导入CA并运行Java Web Start应用程序。
我不确定您是在说B还是C。但是 都不会帮助验证步骤1中完成的签名,因为该签名包含并指定A作为“签名者”证书,即用于验证签名的证书。 B是同一公钥的证书要塞,如果签名指定了证书B,则可以用来验证签名,但是它不是,并且不能这样做,因为当签名已创建。
正确的顺序是:
-genkeypair
-certreq
使用CSR从CA获取证书B。尽管您可能会为了方便或参考而获得C,但实际上实际上并不需要C。
-importcert证书B 进入私钥项。 (如果将-genkeypair的默认别名设置为mykey,则也可以默认使用-importcert,否则必须指定相同的别名。)这将
如果“真实”证书B需要一个或多个链式证书进行验证,对于(总是?)真实的公共CA(例如Digicert,GoDaddy,LetsEncrypt等)的证书是否为真,此类链式证书必须在第4步中包含(作为组合文件,通常是“ p7b”或“ p7c”文件),或者必须在第4步之前分别导入一个或多个单独的受信证书条目中。但是,您的内部CA不需要任何链证书。
现在为jarsigner -因此,签名包括证书B(及其链证书(如果有))
A。分别将证书C包含在客户端系统使用的信任库中;可以随时进行:在第1-5步之后,之中或之前。对于Webstart,我相信放在Java控制面板中就足够了; AFAIK Webstart未通过浏览器验证。 小应用程序可能已经存在,但是小应用程序已经有好几年没有在浏览器中或在高于8的Oracle Java中工作了。