我正在尝试签署小程序,以便发布商不会显示为“ UNKNOWN ”:
我为一个组织工作,我们我们自己的证书颁发机构,证书链如下: ORG Root CA> ORG可信认证机构> Yann39(我:D)
我申请了证书,他们为我提供了一个链接,让它进入浏览器。 然后我导出它(从Firefox)以获取名为 mystore.p12 的PKCS#12文件。
然后我执行了以下操作签署我的小程序:
/* TO KNOW THE ALIAS */
c:\testrep>keytool -list -storetype pkcs12 -keystore mystore.p12
Enter keystore password: ********
Keystore type: pkcs12
Keystore provider: SunJSSE
Your keystore contains 1 entry
id de yann39, Oct 24, 2012, keyEntry,
Certificate fingerprint (MD5): D7:E3:83:1D:C1:40:68:72:5F:A8:6F:AC:3A:EA:DD:47
/* CREATE FAKE CLASS FILE AND BUILD A JAR */
c:\testrep>echo test > test.class
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jar cf0 test_applet.jar test.class
/* SIGN THE JAR */
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mystore.p12 test_applet.jar "id de yann39"
Enter Passphrase for keystore: ********
updating: META-INF/MANIFEST.MF
adding: META-INF/ID_DE_YA.SF
adding: META-INF/ID_DE_YA.RSA
signing: test.class
/* VERIFY THE SIGNATURE */
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verify -verbose -certs test_applet.jar
132 Wed Oct 24 17:49:52 CEST 2012 META-INF/MANIFEST.MF
185 Wed Oct 24 17:49:52 CEST 2012 META-INF/ID_DE_YA.SF
4801 Wed Oct 24 17:49:52 CEST 2012 META-INF/ID_DE_YA.RSA
0 Wed Oct 24 17:48:36 CEST 2012 META-INF/
sm 0 Wed Oct 24 17:47:46 CEST 2012 test.class
X.509, CN=Yann39, CN=794324, CN=myname, OU=Users, OU=Organic Units,
DC=myorg, DC=ch
X.509, CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
X.509, CN=ORG Root CA, DC=myorg, DC=ch
s = signature was verified
m = entry is listed in manifest
k = at least one certificate was found in keystore
i = at least one certificate was found in identity scope
jar verified.
c:\testrep>
然后我使用以下内容在我的应用程序中加载已应用的:
<object id="mytestapplet" width="0" height="0" style="position:absolute" type="application/x-java-applet">
<param name="archive" value="https://myhost.ch/rep/test_applet.jar">
<param name="code" value="test">
<param name="scriptable" value="true">
<param name="mayscript" value="no">
</object>
我读了一些类似这样的帖子:How to sign java applet with .pfx file?在验证来自jar的签名文件时似乎我应该 smi
,而不仅仅是sm
表示在密钥库中找不到证书。
所以我认为证书链不完整,但在运行以下命令时,我看到情况并非如此:
c:\testrep>keytool -list -v -storetype pkcs12 -keystore mystore.p12
Enter keystore password: ********
Keystore type: pkcs12
Keystore provider: SunJSSE
Your keystore contains 1 entry
Alias name: id de yann39
Creation date: Oct 24, 2012
Entry type: keyEntry
Certificate chain length: 3
Certificate[1]:
Owner: CN=Yann39, CN=794324, CN=myname, OU=Users, OU=Organic Units,
DC=myorg, DC=ch
Issuer: CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
Serial number: 12d21eb200200000a02b
Valid from: Mon Jun 25 14:16:00 CEST 2011 until: Wed Jun 24 14:16:00 CEST 2013
Certificate fingerprints:
MD5: D7:E3:83:1D:C1:41:78:72:5F:A8:6D:BD:3A:ED:DD:48
SHA1: 24:31:1D:25:02:98:0D:F8:28:6A:F1:0E:E8:BB:04:7E:51:E2:E9:66
Certificate[2]:
Owner: CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
Issuer: CN=ORG Root CA, DC=myorg, DC=ch
Serial number: 601fab4c000000000003
Valid from: Tue Oct 02 11:36:53 CEST 2006 until: Mon Oct 02 11:47:53 CEST 2016
Certificate fingerprints:
MD5: 51:A1:EA:33:21:2C:71:60:A1:6F:F1:22:92:A8:51:8D
SHA1: 66:CD:70:13:27:68:F3:C2:08:F3:BE:5F:BF:D4:17:BD:85:9D:10:65
Certificate[3]:
Owner: CN=ORG Root CA, DC=myorg, DC=ch
Issuer: CN=ORG Root CA, DC=myorg, DC=ch
Serial number: 7dc0d089138d1d804b2e68e21b947412
Valid from: Tue Oct 02 10:55:19 CEST 2006 until: Sat Oct 02 11:01:47 CEST 2026
Certificate fingerprints:
MD5: A2:CE:DC:7D:F5:60:D7:2C:5E:B5:29:74:9D:51:F9:49
SHA1: DA:D8:7F:63:95:90:A2:E4:D4:1D:B9:48:FD:F4:C3:5C:FC:2B:B6:A3
*******************************************
*******************************************
c:\testrep>
链条似乎很好。
但我依然使用“UNKNOWN”发布商获取安全警告。 为什么?
我忘了说使用Internet Explorer (“Signature已经过验证”,Publisher是“Yann39”),而不是使用Chrome或Firefox。
我尝试使用自签名证书:
keytool -genkey -alias myalias -storetype PKCS12 -keystore mykeystore.p12 -dname "cn=Yann39, ou=UN, o=ORG, st=Geneva, c=CH"
keytool -list -v -storetype pkcs12 -keystore mykeystore.p12
echo test > test.class
C:\oracle\dev10gr2\jdk\bin\jar cf0 myapplet.jar test.class
C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mykeystore.p12 myapplet.jar "myalias"
C:\oracle\dev10gr2\jdk\bin\jarsigner -verify -verbose -certs myapplet.jar
它在IE或Firefox或Chrome中都不起作用,正常。
我尝试添加来自我的组织的2个受信任的证书,但失败:
keytool -import -alias "myalias_root" -file ORGRooTCA.crt -storetype pkcs12 -keystore mykeystore.p12
keytool -import -alias "myalias_auth" -file ORGTrustedCertificationAuthority.crt -storetype pkcs12 -keystore mykeystore.p12
错误:
keytool error: java.security.KeyStoreException: TrustedCertEntry not supported
我仍然不明白为什么它在验证签名时说明在密钥库(sm
)中找不到证书。
我终于得到了我的认证机构的回复。由于代码签名证书仅供测试(我们的组织未正式支持),他们不提供任何帮助,他们关闭了我的票......
2个证书 ORG Root CA 和 ORG可信证书颁发机构在3个浏览器(IE,Firefox,Chrome)中受到信任。在运行我的applet时,我仍然可以在IE中获得预期的结果:
但不是在Firefox和Chrome中:
另一个奇怪的事情是,正如您所看到的,IE正在引用“名称”作为HTML中使用的<object>
标记的ID( applettest ),而Firefox和Chrome正在引用主类的名称( test )。
我认为发布商是一回事,IE正在查看CN
RDN( Yann39 ),而Firefox和Chrome是查看O
RDN并找不到,因为它没有在我的证书中定义。
如果有人有关于浏览器如何检查证书的更多信息,请分享。
感谢。
答案 0 :(得分:10)
如果您拥有自己的CA并使用该CA颁发的证书签署小程序,那么您显然需要将该CA的证书添加到可信证书颁发机构列表中。
在IE中运行时,Java插件似乎能够使用CA的系统列表,因此您只需将CA证书添加到系统证书存储中(确保手动选择证书目标作为可信CA在导入期间。)
在Chrome或Firefox中运行时,Java插件由于某种原因不使用系统证书存储,而只使用其自己的单独证书存储。如果在Java插件证书存储中没有CA证书,则无论是否在“可信CA”系统证书存储中,当在这些浏览器中运行applet时,您将获得“UNKNOWN”发布者的“不安全”安全警告。 / p>
将证书添加到Java插件存储:
下次使用Chrome或Firefox运行小程序时,您将获得正常的“安全”安全警告,并可选择永久信任该小程序。
答案 1 :(得分:2)
在签名之前,您需要将CA证书(最多为根CA)添加到您的p12文件中。
答案 2 :(得分:2)
当我更改签名证书时,出现了同样奇怪的“未知”消息。我将签名密钥库的证书导入到cacerts中(这样我的自签名jar就会被接受),但是java缓存保存了旧的jarfile。然后,当使用“新”证书启动“旧”小程序时,会出现类似于上述消息的消息。
解决方案:清除java缓存(通过java控制面板或javaws -uninstall)。
这是为了防止有人(像我一样)在搜索此错误消息时偶然发现此线程。
答案 3 :(得分:1)
我尝试从我的组织添加2个受信任的证书但是它 失败了:
嗯......所有这些似乎都不太清楚,因为你演示签名过程,因为证书仅导入......
我尝试使用自签名证书它既不起作用也不起作用 IE也不在Firefox或Chrome中,正常。我试图添加2个受信任的 来自我的组织的证书但它失败了:
当然,它失败了。因为您无法导入证书以获取非原始密钥的链。并回到你的测试用例......
我在测试用例中可以看到以下内容:
在步骤B中尝试导入2个证书。所以我必须要求
如果不是这样,我想你刚刚跳过了以下几个步骤:
又一次......
我尝试从我的组织添加2个受信任的证书但是它 失败了:
结果,我可以建议你
我申请了证书,他们为我提供了一个链接 浏览器。然后我导出它(从Firefox)获取PKCS#12文件 我把它命名为mystore.p12。
您是手动导入它,然后按照here所述导出它?
好的......这很有意思。如果你仍然确定你的pfx中的所有内容:S仍然使用demo重新播放你的jarsigner。所以你将test_applet.jar签名为
/* SIGN THE JAR */
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mystore.p12 test_applet.jar "id de yann39"
Enter Passphrase for keystore: ********
updating: META-INF/MANIFEST.MF
adding: META-INF/ID_DE_YA.SF
adding: META-INF/ID_DE_YA.RSA
signing: test.class
...这是非常标准的签名方式,但我想指出一些细节...我看不到jarsigner 要求你输入“id de yann39”私钥密码:S?我只能看到您输入密钥库密码...在您的复制粘贴版本或jarsigner中跳过的步骤是否真的不要求您输入密钥密码?
作为试用版,我建议您尝试使用 -keypass arg为您的jar进行签名(参见示例)
jarsigner -keystore C:\working\mystore -storepass myspass
-keypass dukekeypasswd MyJarFile.jar duke
有关详细信息,请参阅how to use jarsigner文档...
我没有对证书进行任何更改,所以我想是的 原始私钥?关于你的编辑:是我按照描述导出它 在您的链接中,但我使用“备份所有”,而不是“备份”,否则我没有 在我的.p12文件中获取整个证书链。关于签约 .jar文件,我没有跳过任何东西,jarsigner只问我 密钥库密码。我认为密钥库密码和私钥密码 是一样的,
如果您使用keytool在密钥库中生成密钥,则必须知道密钥库具有其密码,并且新生成的私钥应具有自己的密码;所以我想这里可能缺少一些东西:S你会感兴趣的是A)将你的pfx导入IE并按照here描述用IE导出它:因为“是导出私钥”指令+“包括所有证书在可能的情况下在证书路径中“
P.S。 请评论是否有帮助