打包第三方插件的常用数字签名策略是什么?
我的webstart应用程序在其JNLP中使用了许多扩展来使用各种库。例如,应用程序是使用Eclipse的equinox技术构建的,因此一些JAR使用Eclipse签名进行签名。虽然在安装时Java问“你想运行这个应用程序吗?”,但是名称:MyApplication,Publisher:Eclipse.org Foundation,Inc。显然很难让最终用户认为MyApplication是由Eclipse编写的.ORG。
如果没有使用我自己的证书从头开始亲自编译和签署所有软件包,那么这种情况的最佳解决方案是什么?
我尝试只签署已经签名的Eclipse jar,但是当我运行jarsigner时,我得到: “无效的SHA1签名文件摘要”
答案 0 :(得分:1)
maven和ant有signjar插件,可以在其中指定密钥库(证书)。
如果您没有,请使用Java创建密钥库,您可以在其中键入Publisher name。