Я пытаюсь подписать апплет, чтобы издатель не отображался как " UNKNOWN":
Я работаю в организации, и у нас наш собственный центр сертификации, цепочка сертификатов: ORG Root CA > ORG Trusted Certification Authority > Yann39 (me: D )
Я запросил сертификат, и они предоставили мне ссылку, чтобы получить его в браузере. Затем я экспортировал его (из Firefox), чтобы получить файл PKCS # 12, который я назвал mystore.p12.
Затем я сделал следующее, чтобы подписать мой апплет:
/* TO KNOW THE ALIAS */
c:\testrep>keytool -list -storetype pkcs12 -keystore mystore.p12
Enter keystore password: ********
Keystore type: pkcs12
Keystore provider: SunJSSE
Your keystore contains 1 entry
id de yann39, Oct 24, 2012, keyEntry,
Certificate fingerprint (MD5): D7:E3:83:1D:C1:40:68:72:5F:A8:6F:AC:3A:EA:DD:47
/* CREATE FAKE CLASS FILE AND BUILD A JAR */
c:\testrep>echo test > test.class
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jar cf0 test_applet.jar test.class
/* SIGN THE JAR */
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mystore.p12 test_applet.jar "id de yann39"
Enter Passphrase for keystore: ********
updating: META-INF/MANIFEST.MF
adding: META-INF/ID_DE_YA.SF
adding: META-INF/ID_DE_YA.RSA
signing: test.class
/* VERIFY THE SIGNATURE */
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verify -verbose -certs test_applet.jar
132 Wed Oct 24 17:49:52 CEST 2012 META-INF/MANIFEST.MF
185 Wed Oct 24 17:49:52 CEST 2012 META-INF/ID_DE_YA.SF
4801 Wed Oct 24 17:49:52 CEST 2012 META-INF/ID_DE_YA.RSA
0 Wed Oct 24 17:48:36 CEST 2012 META-INF/
sm 0 Wed Oct 24 17:47:46 CEST 2012 test.class
X.509, CN=Yann39, CN=794324, CN=myname, OU=Users, OU=Organic Units,
DC=myorg, DC=ch
X.509, CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
X.509, CN=ORG Root CA, DC=myorg, DC=ch
s = signature was verified
m = entry is listed in manifest
k = at least one certificate was found in keystore
i = at least one certificate was found in identity scope
jar verified.
c:\testrep>
Затем я загрузите приложение в мое приложение, используя следующее:
<object id="mytestapplet" width="0" height="0" style="position:absolute" type="application/x-java-applet">
<param name="archive" value="https://myhost.ch/rep/test_applet.jar">
<param name="code" value="test">
<param name="scriptable" value="true">
<param name="mayscript" value="no">
</object>
Я прочитал несколько сообщений вроде этого: Как подписать java-апплет с .pfx файлом? и кажется Мне нужно smi
при проверке подписанного файла из банки, а не только sm
, что означает, что сертификат не найден в хранилище ключей.
Итак Я думал, что цепочка сертификатов не была полной, но при запуске следующей команды я увидел, что это не так.:
c:\testrep>keytool -list -v -storetype pkcs12 -keystore mystore.p12
Enter keystore password: ********
Keystore type: pkcs12
Keystore provider: SunJSSE
Your keystore contains 1 entry
Alias name: id de yann39
Creation date: Oct 24, 2012
Entry type: keyEntry
Certificate chain length: 3
Certificate[1]:
Owner: CN=Yann39, CN=794324, CN=myname, OU=Users, OU=Organic Units,
DC=myorg, DC=ch
Issuer: CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
Serial number: 12d21eb200200000a02b
Valid from: Mon Jun 25 14:16:00 CEST 2011 until: Wed Jun 24 14:16:00 CEST 2013
Certificate fingerprints:
MD5: D7:E3:83:1D:C1:41:78:72:5F:A8:6D:BD:3A:ED:DD:48
SHA1: 24:31:1D:25:02:98:0D:F8:28:6A:F1:0E:E8:BB:04:7E:51:E2:E9:66
Certificate[2]:
Owner: CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
Issuer: CN=ORG Root CA, DC=myorg, DC=ch
Serial number: 601fab4c000000000003
Valid from: Tue Oct 02 11:36:53 CEST 2006 until: Mon Oct 02 11:47:53 CEST 2016
Certificate fingerprints:
MD5: 51:A1:EA:33:21:2C:71:60:A1:6F:F1:22:92:A8:51:8D
SHA1: 66:CD:70:13:27:68:F3:C2:08:F3:BE:5F:BF:D4:17:BD:85:9D:10:65
Certificate[3]:
Owner: CN=ORG Root CA, DC=myorg, DC=ch
Issuer: CN=ORG Root CA, DC=myorg, DC=ch
Serial number: 7dc0d089138d1d804b2e68e21b947412
Valid from: Tue Oct 02 10:55:19 CEST 2006 until: Sat Oct 02 11:01:47 CEST 2026
Certificate fingerprints:
MD5: A2:CE:DC:7D:F5:60:D7:2C:5E:B5:29:74:9D:51:F9:49
SHA1: DA:D8:7F:63:95:90:A2:E4:D4:1D:B9:48:FD:F4:C3:5C:FC:2B:B6:A3
*******************************************
*******************************************
c:\testrep>
Цепочка кажется хорошей.
Но я еще получает предупреждение безопасности с "UNKNOWN" Publisher. Почему?
EDIT 25-OCT-2012
Я забыл сказать, что он работает с использованием Internet Explorer ( "Подпись проверена", а Publisher - "Yann39" ), не используя Chrome или Firefox.
Я попытался использовать самоподписанный сертификат:
keytool -genkey -alias myalias -storetype PKCS12 -keystore mykeystore.p12 -dname "cn=Yann39, ou=UN, o=ORG, st=Geneva, c=CH"
keytool -list -v -storetype pkcs12 -keystore mykeystore.p12
echo test > test.class
C:\oracle\dev10gr2\jdk\bin\jar cf0 myapplet.jar test.class
C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mykeystore.p12 myapplet.jar "myalias"
C:\oracle\dev10gr2\jdk\bin\jarsigner -verify -verbose -certs myapplet.jar
Он не работает ни в IE, ни в Firefox или Chrome, нормальный.
Я попытался добавить 2 доверенных сертификата из своей организации, но не удалось:
keytool -import -alias "myalias_root" -file ORGRooTCA.crt -storetype pkcs12 -keystore mykeystore.p12
keytool -import -alias "myalias_auth" -file ORGTrustedCertificationAuthority.crt -storetype pkcs12 -keystore mykeystore.p12
с ошибкой:
keytool error: java.security.KeyStoreException: TrustedCertEntry not supported
Я все еще не понимаю, почему он говорит, что сертификат не был найден в хранилище ключей (sm
) при проверке подписи.
EDIT 02-NOV-2012
Наконец-то я получил ответ от своего Центра сертификации. Поскольку сертификаты подписи кода предоставляются только для тестирования (официально не поддерживаются в нашей организации), они не предоставляют никакой помощи, и они закрыли мой билет...
В трех браузерах (IE, Firefox, Chrome) доверяют 2 сертификата ORG Root CA и доверенного центра сертификации ORG. При запуске моего апплета я все еще получаю ожидаемый результат в IE:
- Имя: applettest
- Издатель: Yann39
- От: https://myhost.ch
Но не в Firefox и Chrome:
- Имя: test
- Издатель: UNKNOWN
- От: https://myhost.ch
Еще одна странная вещь: вы видите, что IE ссылается как "Имя" на идентификатор тега <object>
, используемого в HTML (applettest), в то время как Firefox и Chrome ссылаются на имя основного класса (тест).
Я думаю, что это то же самое в Publisher, IE смотрит на CN
RDN (Yann39), в то время как Firefox и Chrome смотрят на O
RDN и не могут найти его, поскольку он не определен в моем сертификате.
Если у кого-то есть дополнительная информация о том, как браузеры проверяют сертификаты, пожалуйста, поделитесь им.
Спасибо.