【问题标题】:Can a signed jar-file also contain multiple certificates from the 'chain of trust'?签名的 jar 文件还可以包含来自“信任链”的多个证书吗?
【发布时间】:2014-01-29 05:10:38
【问题描述】:

SSL 协议可以提供信任链中的所有证书,而不仅仅是签名者的公钥。所以我的问题; Jar 文件还可以包含信任链中的所有(或多个)证书吗?

这是因为我们的罐子是由相对未知的实体签名的,而后者又是由威瑞信签名的。

我不想打扰客户端(运行 webstart 应用程序)修复他的本地 java webstart 密钥库,以便信任链中的所有证书都在。

【问题讨论】:

    标签: java ssl certificate java-web-start jar-signing


    【解决方案1】:

    您需要使用完全链接的条目而不只是您的证书来签署您的 jar。

    这里有一个很好的教程,介绍如何创建一个包含格式良好的全链式密钥库条目的密钥库: Adding certificate chain to p12(pfx) certificate

    或者,在此处查看“使用私钥和整个信任链创建 .pem”:http://www.digicert.com/ssl-support/pem-ssl-creation.htm

    获得完整的 pem 文件后,按照教程中的说明将其转换为密钥库,并使用您的条目对 jar 进行签名。

    > openssl pkcs12 -export -in chain.pem -out chain.pfx
    > keytool -list -v -keystore chain.pfx -storetype PKCS12
    Enter keystore password:  ...
    
    Keystore type: jks
    Keystore provider: SUN
    
    Your keystore contains 1 entry
    
    Alias name: 1
    Creation date: date
    Entry type: PrivateKeyEntry
    Certificate chain length: 3 (anything above 1 means your entry is chained)
    ......
    
    > jarsigner -tsa http://timestamp.SOME_CA.com -keystore chain.pfx -storetype PKCS12 -storepass PASSWORD YOUR_JAR.jar 1
    

    注意:上面jarsigner中的“1”实际上是导入的pem文件的别名。

    一旦您的密钥库有一个包含完整证书链的条目,使用此条目对您的 jar 进行签名,RSA 文件就会

    【讨论】:

      猜你喜欢
      • 2015-01-08
      • 2018-03-20
      • 2017-04-21
      • 1970-01-01
      • 2011-05-05
      • 1970-01-01
      • 1970-01-01
      • 2021-08-23
      • 2021-04-07
      相关资源
      最近更新 更多