从applet安全警告中删除“UNKNOWN”发布者

时间:2012-10-24 16:53:12

标签: java ssl applet certificate signing

我正在尝试签署小程序,以便发布商不会显示为“ UNKNOWN ”:

Applet security warning showing an "UNKNOWN" publisher

我为一个组织工作,我们我们自己的证书颁发机构证书链如下: ORG Root CA> ORG可信认证机构> Yann39(我:D)

我申请了证书,他们为我提供了一个链接,让它进入浏览器。 然后我导出它(从Firefox)以获取名为 mystore.p12 的PKCS#12文件。

然后我执行了以下操作签署我的小程序

/* TO KNOW THE ALIAS */
c:\testrep>keytool -list -storetype pkcs12 -keystore mystore.p12
Enter keystore password:  ********

Keystore type: pkcs12
Keystore provider: SunJSSE

Your keystore contains 1 entry

id de yann39, Oct 24, 2012, keyEntry,
Certificate fingerprint (MD5): D7:E3:83:1D:C1:40:68:72:5F:A8:6F:AC:3A:EA:DD:47

/* CREATE FAKE CLASS FILE AND BUILD A JAR */
c:\testrep>echo test > test.class
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jar cf0 test_applet.jar test.class

/* SIGN THE JAR */
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mystore.p12 test_applet.jar "id de yann39"
Enter Passphrase for keystore: ********
 updating: META-INF/MANIFEST.MF
   adding: META-INF/ID_DE_YA.SF
   adding: META-INF/ID_DE_YA.RSA
  signing: test.class

/* VERIFY THE SIGNATURE */
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verify -verbose -certs test_applet.jar

         132 Wed Oct 24 17:49:52 CEST 2012 META-INF/MANIFEST.MF
         185 Wed Oct 24 17:49:52 CEST 2012 META-INF/ID_DE_YA.SF
        4801 Wed Oct 24 17:49:52 CEST 2012 META-INF/ID_DE_YA.RSA
           0 Wed Oct 24 17:48:36 CEST 2012 META-INF/
sm         0 Wed Oct 24 17:47:46 CEST 2012 test.class

      X.509, CN=Yann39, CN=794324, CN=myname, OU=Users, OU=Organic Units,
DC=myorg, DC=ch
      X.509, CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
      X.509, CN=ORG Root CA, DC=myorg, DC=ch


  s = signature was verified
  m = entry is listed in manifest
  k = at least one certificate was found in keystore
  i = at least one certificate was found in identity scope

jar verified.

c:\testrep>

然后我使用以下内容在我的应用程序中加载已应用的

<object id="mytestapplet" width="0" height="0" style="position:absolute" type="application/x-java-applet">
<param name="archive" value="https://myhost.ch/rep/test_applet.jar">
<param name="code" value="test">
<param name="scriptable" value="true">
<param name="mayscript" value="no">
</object>

我读了一些类似这样的帖子:How to sign java applet with .pfx file?在验证来自jar的签名文件时似乎我应该 smi,而不仅仅是sm表示在密钥库中找不到证书。

所以我认为证书链不完整,但在运行以下命令时,我看到情况并非如此

c:\testrep>keytool -list -v -storetype pkcs12 -keystore mystore.p12
Enter keystore password:  ********

Keystore type: pkcs12
Keystore provider: SunJSSE

Your keystore contains 1 entry

Alias name: id  de yann39
Creation date: Oct 24, 2012
Entry type: keyEntry
Certificate chain length: 3
Certificate[1]:
Owner: CN=Yann39, CN=794324, CN=myname, OU=Users, OU=Organic Units,
    DC=myorg, DC=ch
Issuer: CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
Serial number: 12d21eb200200000a02b
Valid from: Mon Jun 25 14:16:00 CEST 2011 until: Wed Jun 24 14:16:00 CEST 2013
Certificate fingerprints:
         MD5:  D7:E3:83:1D:C1:41:78:72:5F:A8:6D:BD:3A:ED:DD:48
         SHA1: 24:31:1D:25:02:98:0D:F8:28:6A:F1:0E:E8:BB:04:7E:51:E2:E9:66
Certificate[2]:
Owner: CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
Issuer: CN=ORG Root CA, DC=myorg, DC=ch
Serial number: 601fab4c000000000003
Valid from: Tue Oct 02 11:36:53 CEST 2006 until: Mon Oct 02 11:47:53 CEST 2016
Certificate fingerprints:
         MD5:  51:A1:EA:33:21:2C:71:60:A1:6F:F1:22:92:A8:51:8D
         SHA1: 66:CD:70:13:27:68:F3:C2:08:F3:BE:5F:BF:D4:17:BD:85:9D:10:65
Certificate[3]:
Owner: CN=ORG Root CA, DC=myorg, DC=ch
Issuer: CN=ORG Root CA, DC=myorg, DC=ch
Serial number: 7dc0d089138d1d804b2e68e21b947412
Valid from: Tue Oct 02 10:55:19 CEST 2006 until: Sat Oct 02 11:01:47 CEST 2026
Certificate fingerprints:
         MD5:  A2:CE:DC:7D:F5:60:D7:2C:5E:B5:29:74:9D:51:F9:49
         SHA1: DA:D8:7F:63:95:90:A2:E4:D4:1D:B9:48:FD:F4:C3:5C:FC:2B:B6:A3


*******************************************
*******************************************



c:\testrep>

链条似乎很好。

但我依然使用“UNKNOWN”发布商获取安全警告为什么


编辑25-OCT-2012

我忘了说使用Internet Explorer (“Signature已经过验证”,Publisher是“Yann39”),而不是使用Chrome或Firefox。

我尝试使用自签名证书:

keytool -genkey -alias myalias -storetype PKCS12 -keystore mykeystore.p12 -dname "cn=Yann39, ou=UN, o=ORG, st=Geneva, c=CH"
keytool -list -v -storetype pkcs12 -keystore mykeystore.p12
echo test > test.class
C:\oracle\dev10gr2\jdk\bin\jar cf0 myapplet.jar test.class
C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mykeystore.p12 myapplet.jar "myalias"
C:\oracle\dev10gr2\jdk\bin\jarsigner -verify -verbose -certs myapplet.jar

它在IE或Firefox或Chrome中都不起作用,正常。

我尝试添加来自我的组织的2个受信任的证书,但失败

keytool -import -alias "myalias_root" -file ORGRooTCA.crt -storetype pkcs12 -keystore mykeystore.p12
keytool -import -alias "myalias_auth" -file ORGTrustedCertificationAuthority.crt -storetype pkcs12 -keystore mykeystore.p12

错误:

keytool error: java.security.KeyStoreException: TrustedCertEntry not supported

我仍然不明白为什么它在验证签名时说明在密钥库(sm)中找不到证书。


编辑02-NOV-2012

我终于得到了我的认证机构的回复。由于代码签名证书仅供测试(我们的组织未正式支持),他们不提供任何帮助,他们关闭了我的票......

2个证书 ORG Root CA ORG可信证书颁发机构在3个浏览器(IE,Firefox,Chrome)中受到信任。在运行我的applet时,我仍然可以在IE中获得预期的结果:

但不是在Firefox和Chrome中:

另一个奇怪的事情是,正如您所看到的,IE正在引用“名称”作为HTML中使用的<object>标记的ID( applettest ),而Firefox和Chrome正在引用主类的名称( test )。

我认为发布商是一回事,IE正在查看CN RDN( Yann39 ),而Firefox和Chrome是查看O RDN并找不到,因为它没有在我的证书中定义。

如果有人有关于浏览器如何检查证书的更多信息,请分享。

感谢。

4 个答案:

答案 0 :(得分:10)

如果您拥有自己的CA并使用该CA颁发的证书签署小程序,那么您显然需要将该CA的证书添加到可信证书颁发机构列表中。

在IE中运行时,Java插件似乎能够使用CA的系统列表,因此您只需将CA证书添加到系统证书存储中(确保手动选择证书目标作为可信CA在导入期间。)

在Chrome或Firefox中运行时,Java插件由于某种原因不使用系统证书存储,而只使用其自己的单独证书存储。如果在Java插件证书存储中没有CA证书,则无论是否在“可信CA”系统证书存储中,当在这些浏览器中运行applet时,您将获得“UNKNOWN”发布者的“不安全”安全警告。 / p>

将证书添加到Java插件存储:

  • 打开Java控制面板
  • 选择“安全”标签
  • 点击“管理证书...”按钮
  • 在“证书类型”组合框中选择“签名者CA”选项。
  • 导入您的CA证书

下次使用Chrome或Firefox运行小程序时,您将获得正常的“安全”安全警告,并可选择永久信任该小程序。

答案 1 :(得分:2)

在签名之前,您需要将CA证书(最多为根CA)添加到您的p12文件中。

答案 2 :(得分:2)

当我更改签名证书时,出现了同样奇怪的“未知”消息。我将签名密钥库的证书导入到cacerts中(这样我的自签名jar就会被接受),但是java缓存保存了旧的jarfile。然后,当使用“新”证书启动“旧”小程序时,会出现类似于上述消息的消息。

解决方案:清除java缓存(通过java控制面板或javaws -uninstall)。

这是为了防止有人(像我一样)在搜索此错误消息时偶然发现此线程。

答案 3 :(得分:1)

  

我尝试从我的组织添加2个受信任的证书但是它   失败了:

嗯......所有这些似乎都不太清楚,因为你演示签名过程,因为证书仅导入......

  

我尝试使用自签名证书它既不起作用也不起作用   IE也不在Firefox或Chrome中,正常。我试图添加2个受信任的   来自我的组织的证书但它失败了:

当然,它失败了。因为您无法导入证书以获取非原始密钥的链。并回到你的测试用例......

我在测试用例中可以看到以下内容:

  • A)你可能 myalias 或者 myalias_root myalias_auth key(s) - 在此处提供更多详情
  • B)您尝试导入 ORGRooTCA 和 的 ORGTrustedCertificationAuthority
  • C)您尝试签署测试罐

在步骤B中尝试导入2个证书。所以我必须要求

  • 使用 myalias_root
    生成两个证书 myalias_auth CSR(s)?

如果不是这样,我想你刚刚跳过了以下几个步骤:

  • A)Gen myalias_root myalias_auth
  • B) myalias_root _root和 myalias_auth 的基本CSR
  • C)使用 myalias_root 认证 ORGRooTCA ORGTrustedCertificationAuthority myalias_auth CSR(s)
  • D)将证书导入 ORGRooTCA ORGTrustedCertificationAuthority 以获取链
  • E)尝试签署测试罐

又一次......

  

我尝试从我的组织添加2个受信任的证书但是它   失败了:

结果,我可以建议你

  • A)不仅可以获得贵组织的证书,还可以获得证书 密钥证书是由
  • 生成的
  • B)或者通过以下方式生成您自己的密钥和您自己的证书 前面提到的ABCDE步骤:)

  

我申请了证书,他们为我提供了一个链接   浏览器。然后我导出它(从Firefox)获取PKCS#12文件   我把它命名为mystore.p12。

您是手动导入它,然后按照here所述导出它?

好的......这很有意思。如果你仍然确定你的pfx中的所有内容:S仍然使用demo重新播放你的jarsigner。所以你将test_applet.jar签名为

/* SIGN THE JAR */
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mystore.p12 test_applet.jar "id de yann39"
Enter Passphrase for keystore: ********
 updating: META-INF/MANIFEST.MF
   adding: META-INF/ID_DE_YA.SF
   adding: META-INF/ID_DE_YA.RSA
  signing: test.class 

...这是非常标准的签名方式,但我想指出一些细节...我看不到jarsigner 要求你输入“id de yann39”私钥密码:S?我只能看到您输入密钥库密码...在您的复制粘贴版本或jarsigner中跳过的步骤是否真的不要求您输入密钥密码?

作为试用版,我建议您尝试使用 -keypass arg为您的jar进行签名(参见示例)

jarsigner -keystore C:\working\mystore -storepass myspass
      -keypass dukekeypasswd MyJarFile.jar duke

有关详细信息,请参阅how to use jarsigner文档...


  

我没有对证书进行任何更改,所以我想是的   原始私钥?关于你的编辑:是我按照描述导出它   在您的链接中,但我使用“备份所有”,而不是“备份”,否则我没有   在我的.p12文件中获取整个证书链。关于签约   .jar文件,我没有跳过任何东西,jarsigner只问我   密钥库密码。我认为密钥库密码和私钥密码   是一样的,

如果您使用keytool在密钥库中生成密钥,则必须知道密钥库具有其密码,并且新生成的私钥应具有自己的密码;所以我想这里可能缺少一些东西:S你会感兴趣的是A)将你的pfx导入IE并按照here描述用IE导出它:因为“是导出私钥”指令+“包括所有证书在可能的情况下在证书路径中“

P.S。 请评论是否有帮助