【发布时间】:2017-02-14 21:06:06
【问题描述】:
JDK 1.7.0_80 中的 Thawte 根证书似乎已被吊销。 https://www.thawte.com/roots/retired.html
使用 7u80 jarsigner 不再有效,几天前它还可以正常工作。
/usr/java/jdk1.7.0_80/jre/../bin/jarsigner -keystore /home/build/keystore.p12 -storepass storepass -storetype pkcs12 -tsa https://timestamp.geotrust.com/tsa /home/build/jenkins/workspace/my-gui/target/my-gui-3.0.29-SNAPSHOT.jar comp
jarsigner: unable to sign jar: javax.net.ssl.SSLHandshakeException: Remote host closed connection during handshake
我尝试在删除旧证书后将 Thawtes Timestamping CA 证书导入 cacerts。
wget https://www.thawte.com/roots/Thawte_Timestamping_CA.pem
/usr/java/jdk1.7.0_80/bin/keytool -import -trustcacerts -alias verisigntsaca -file Thawte_Timestamping_CA.pem -keystore jre/lib/security/cacerts
Enter keystore password:
Trust this certificate? [no]: yes
Certificate was added to keystore
使用 JDK 8u60 中的 jarsigner 有效,因此我尝试将其 cacerts 复制到 JDK7,但这也不起作用。
由于 Javadoc 错误,我们还无法使用 Java 8 进行编译。我看到的唯一解决方案是在 JDK7 中创建符号链接到 JDK8 jarsigner。
/usr/java/jdk1.8.0_60/jre/../bin/jarsigner -keystore /home/build/keystore.p12 -storepass storepass -storetype pkcs12 -tsa https://timestamp.geotrust.com/tsa /home/build/jenkins/workspace/my-gui/target/my-gui-3.0.29-SNAPSHOT.jar comp
jar signed.
如果我将 tsa 从 geotrust 切换到 digicert,它适用于 JDK 7,因为它们不使用 https。 http://timestamp.digicert.com/
【问题讨论】:
-
我在打包设置时遇到了与 ADT 相同的问题。默认情况下,它使用相同的 tsa URL。我正在使用 Java 1.6.0_31,它在 6 小时之前运行良好,也许更多。你是说如果使用 Java 7 或 8 就可以了吗?
-
"如果我将 tsa 从 geotrust 切换到 digicert,它可以在 JDK 7 上正常工作,因为它们不使用 https。timestamp.digicert.com" FWIW,我发现您可以同样坚持使用 geotrust,只需使用 "http ",即
http://timestamp.geotrust.com.