ssl - 在签名jar文件时进行证书链接

Question

在签名jar文件时如何引入一级证书链？我想做的是


用生成的私钥签名一个jar。
生成CSR（证书签名请求）
生成CA签名证书，其中CA是自签名CA
在jcontrol和浏览器中导入CA并运行Java Web Start应用程序。


但不幸的是它没有用，并发出了安全警告。

请提出一些好的方法。

Answer 1

TLDR：首先获得证书

Java代码签名使用PKCS7 / CMS签名格式，wbich基于X.509 / PKIX公钥证书。您发布的序列会使用私钥，就像魔术出现一样，但这是不可能的。我敢打赌，您的顺序实际上是：

‍0。 keytool -genkeypair

尽管名称集中在“生成密钥对”上，但该命令实际上可以完成三件事：生成密钥对；为该密钥对的公共部分创建一个虚拟的，自签名的证书；并将密钥对的私密部分和虚拟证书一起存储在密钥库（通常是文件）中。请注意，java.security.KeyStore API不支持单独存储私钥（或公钥或原始密钥对），而仅存储结合有证书链的私钥。 （伪证书本身构成一条琐碎的链。）为具体起见，我将此伪证书称为A。

‍1。用生成的私钥= jarsigner签名jar

您可以在密钥库中为jarsigner指定一个私钥条目，但是如上所述，该条目实际上还包含证书链，在这种情况下，该证书还包含虚拟证书。 PKCS7 / CMS签名包含使用私钥计算的原始PKC签名（RSA，DSA或ECDSA），加上与该私钥匹配的证书，因此可用于验证签名，以及验证所需的任何链证书签名证书。如果查看结果jar中META-INF/<alias>.{RSA,DSA,EC}条目的内容，则可以看到此内容。

‍2。生成CSR（证书签名请求）= keytool -certreq

‍3。生成CA签名证书，其中CA是自签名CA

您如何执行此操作取决于您的CA，但在这里并不重要。确切地说，CA可能对CA密钥对的公共部分具有自签名证书，但是如上所述，它实际上使用私有部分对证书进行签名。具体而言，我将称呼CA颁发的用于签名密钥B的证书，以及CA自身的自签名证书C。

‍4。在jcontrol和浏览器中导入CA并运行Java Web Start应用程序。

我不确定在这里是B还是C。但是，这两种方法都无法帮助验证步骤1中完成的签名，因为该签名包含并将A指定为“签名者”证书，即用于验证签名的证书。 B是同一公钥的证书要塞，并且如果签名指定了证书B，则可以用来验证签名，但是它不是，并且不能这样做，因为创建签名时B甚至不存在。

正确的顺序是：


-genkeypair
-certreq
使用CSR从CA获取证书B。尽管您可能会为了方便或参考而获得C，但实际上您实际上不需要C。
-importcert证书B进入私钥项。 （如果将-genkeypair别名默认为mykey，则也可以默认为-importcert，否则必须指定相同的别名。）这将用私有密钥条目中的“真实”证书B替换伪证书A。 （请注意不要将证书B导入到其他别名或其他密钥库；这通常不会产生错误。但是结果将无法正常工作。）

如果“真实”证书B需要一个或多个链式证书进行验证，对于（总是？）真实的公共CA（例如Digicert，GoDaddy，LetsEncrypt等）的证书是否为真（始终如此），则此类链式证书必须为包含在第4步中（作为组合文件，通常是“ p7b”或“ p7c”文件），或在第4步之前分别导入一个或多个单独的受信证书条目中。但是，您的内部CA不需要任何链证书。
现在jarsigner-因此签名包括证书B（及其链证书（如果有））


A.单独，证书C必须包含在客户端系统使用的信任库中；可以随时进行：在第1-5步之后，之中或之前。对于Webstart，我认为将其放在Java Control Panel中就足够了。 AFAIK Webstart未通过浏览器验证。 Applet可能已经存在，但是Applet在浏览器中或在高于8的Oracle Java中无法使用。