从applet安全警告中删除“UNKNOWN”发布者
我正在尝试签署一个小程序,以便发布者不会显示为“ 未知 ”:
我在一个组织工作,我们有自己的证书颁发机构 , 证书链如下: ORG Root CA> ORG Trusted Certification Authority> Yann39(me:D)
我申请了证书,他们为我提供了一个链接,让它进入浏览器。 然后我导出它(从Firefox)以获取名为mystore.p12的PKCS#12文件。
然后我做了以下签名我的applet :
/* TO KNOW THE ALIAS */ c:\testrep>keytool -list -storetype pkcs12 -keystore mystore.p12 Enter keystore password: ******** Keystore type: pkcs12 Keystore provider: SunJSSE Your keystore contains 1 entry id de yann39, Oct 24, 2012, keyEntry, Certificate fingerprint (MD5): D7:E3:83:1D:C1:40:68:72:5F:A8:6F:AC:3A:EA:DD:47 /* CREATE FAKE CLASS FILE AND BUILD A JAR */ c:\testrep>echo test > test.class c:\testrep>C:\oracle\dev10gr2\jdk\bin\jar cf0 test_applet.jar test.class /* SIGN THE JAR */ c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mystore.p12 test_applet.jar "id de yann39" Enter Passphrase for keystore: ******** updating: META-INF/MANIFEST.MF adding: META-INF/ID_DE_YA.SF adding: META-INF/ID_DE_YA.RSA signing: test.class /* VERIFY THE SIGNATURE */ c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verify -verbose -certs test_applet.jar 132 Wed Oct 24 17:49:52 CEST 2012 META-INF/MANIFEST.MF 185 Wed Oct 24 17:49:52 CEST 2012 META-INF/ID_DE_YA.SF 4801 Wed Oct 24 17:49:52 CEST 2012 META-INF/ID_DE_YA.RSA 0 Wed Oct 24 17:48:36 CEST 2012 META-INF/ sm 0 Wed Oct 24 17:47:46 CEST 2012 test.class X.509, CN=Yann39, CN=794324, CN=myname, OU=Users, OU=Organic Units, DC=myorg, DC=ch X.509, CN=ORG Trusted Certification Authority, DC=myorg, DC=ch X.509, CN=ORG Root CA, DC=myorg, DC=ch s = signature was verified m = entry is listed in manifest k = at least one certificate was found in keystore i = at least one certificate was found in identity scope jar verified. c:\testrep> 然后我使用以下内容加载我的应用程序中的appled :
我读了一些像这样的post: 如何用.pfx文件签署java applet? 在从jarvalidation签名文件时, 我似乎应该得到 smi ,而不仅仅是sm意味着在密钥库中找不到证书。
所以我认为证书链不完整 ,但是在运行以下命令时, 我发现事实并非如此 :
c:\testrep>keytool -list -v -storetype pkcs12 -keystore mystore.p12 Enter keystore password: ******** Keystore type: pkcs12 Keystore provider: SunJSSE Your keystore contains 1 entry Alias name: id de yann39 Creation date: Oct 24, 2012 Entry type: keyEntry Certificate chain length: 3 Certificate[1]: Owner: CN=Yann39, CN=794324, CN=myname, OU=Users, OU=Organic Units, DC=myorg, DC=ch Issuer: CN=ORG Trusted Certification Authority, DC=myorg, DC=ch Serial number: 12d21eb200200000a02b Valid from: Mon Jun 25 14:16:00 CEST 2011 until: Wed Jun 24 14:16:00 CEST 2013 Certificate fingerprints: MD5: D7:E3:83:1D:C1:41:78:72:5F:A8:6D:BD:3A:ED:DD:48 SHA1: 24:31:1D:25:02:98:0D:F8:28:6A:F1:0E:E8:BB:04:7E:51:E2:E9:66 Certificate[2]: Owner: CN=ORG Trusted Certification Authority, DC=myorg, DC=ch Issuer: CN=ORG Root CA, DC=myorg, DC=ch Serial number: 601fab4c000000000003 Valid from: Tue Oct 02 11:36:53 CEST 2006 until: Mon Oct 02 11:47:53 CEST 2016 Certificate fingerprints: MD5: 51:A1:EA:33:21:2C:71:60:A1:6F:F1:22:92:A8:51:8D SHA1: 66:CD:70:13:27:68:F3:C2:08:F3:BE:5F:BF:D4:17:BD:85:9D:10:65 Certificate[3]: Owner: CN=ORG Root CA, DC=myorg, DC=ch Issuer: CN=ORG Root CA, DC=myorg, DC=ch Serial number: 7dc0d089138d1d804b2e68e21b947412 Valid from: Tue Oct 02 10:55:19 CEST 2006 until: Sat Oct 02 11:01:47 CEST 2026 Certificate fingerprints: MD5: A2:CE:DC:7D:F5:60:D7:2C:5E:B5:29:74:9D:51:F9:49 SHA1: DA:D8:7F:63:95:90:A2:E4:D4:1D:B9:48:FD:F4:C3:5C:FC:2B:B6:A3 ******************************************* ******************************************* c:\testrep>
链似乎很好。
但我仍然得到一个“未知”发布者的安全警告 。 为什么 ?
编辑25-OCT-2012
我忘了说它使用Internet Explorer (“Signature已经过validation”,Publisher是“Yann39”),而不是使用Chrome或Firefox。
我尝试使用自签名证书:
keytool -genkey -alias myalias -storetype PKCS12 -keystore mykeystore.p12 -dname "cn=Yann39, ou=UN, o=ORG, st=Geneva, c=CH" keytool -list -v -storetype pkcs12 -keystore mykeystore.p12 echo test > test.class C:\oracle\dev10gr2\jdk\bin\jar cf0 myapplet.jar test.class C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mykeystore.p12 myapplet.jar "myalias" C:\oracle\dev10gr2\jdk\bin\jarsigner -verify -verbose -certs myapplet.jar
它在IE或Firefox或Chrome中都不起作用,正常。
我尝试从我的组织添加2个受信任的证书但它失败了 :
keytool -import -alias "myalias_root" -file ORGRooTCA.crt -storetype pkcs12 -keystore mykeystore.p12 keytool -import -alias "myalias_auth" -file ORGTrustedCertificationAuthority.crt -storetype pkcs12 -keystore mykeystore.p12
有错误:
keytool error: java.security.KeyStoreException: TrustedCertEntry not supported
我仍然不明白为什么它在validation签名时说在密钥库( sm )中找不到证书。
编辑02-NOV-2012
我终于收到了我的认证机构的回复。 由于代码签名证书仅供测试(我们组织未正式支持),因此他们不提供任何帮助,他们关闭了我的机票……
2个证书ORG Root CA和ORG Trusted Certification Authority在3个浏览器(IE,Firefox,Chrome)中受到信任。 运行我的applet时,我仍然可以在IE中获得预期的结果:
- 名称 :applettest
- 出版社 :Yann39
- 来自 : https : //myhost.ch
但不是在Firefox和Chrome中:
- 名称 :测试
- 出版商 :UNKNOWN
- 来自 : https : //myhost.ch
另一个奇怪的事情是,你看到IE正在引用HTML( applettest )中使用的标签的“名称”,而Firefox和Chrome引用主类的名称( 测试 )。
我认为这是关于发布者的同样的事情,IE正在寻找CN RDN( Yann39 ),而Firefox和Chrome正在寻找O RDN而找不到它,因为它没有在我的证书中定义。
如果有人有关于浏览器如何检查证书的更多信息,请分享。
谢谢。
如果您拥有自己的CA并使用该CA颁发的证书签署小程序,那么您显然需要将该CA的证书添加到可信证书颁发机构列表中。
在IE中运行时,Java插件似乎能够使用CA的系统列表,因此您只需将CA证书添加到系统证书存储中(确保在导入期间手动选择证书目标作为可信CA) )。
在Chrome或Firefox中运行时,Java插件由于某种原因不使用系统证书存储,而只使用其自己的单独证书存储。 如果在Java插件证书存储中不存在CA证书,则无论是否在“可信CA”系统证书存储中,当在这些浏览器中运行applet时,您将获得“UNKNOWN”发布者的“不安全”安全警告。
要将证书添加到Java插件存储:
- 打开Java控制面板
- 选择“安全”选项卡
- 单击“管理证书…”按钮
- 在“证书类型”combobox中选择“签名者CA”选项。
- 导入您的CA证书
下次使用Chrome或Firefox运行applet时,您将获得正常的“安全”安全警告,并可选择永久信任该applet。
您需要在签名之前将CA证书(最多为根CA)添加到p12文件中。
当我更改签名证书时,出现了同样奇怪的“未知”消息。 我将签名密钥库的证书导入到cacerts中(这样我的自签名jar就被接受了),但是java缓存保存了旧的jarfile。 然后,当使用“新”证书启动“旧”小程序时,会出现类似于上述消息的消息。
解决方案:清除java缓存(通过java控制面板或javaws -uninstall)。
这是为了万一有人(像我自己)在搜索此错误消息时偶然发现此线程。
我尝试从我的组织添加2个受信任的证书但它失败了:
嗯…所有人似乎都很不清楚,因为你只是导入证书才能演示签名过程……
我尝试使用自签名证书它既不在IE中也不在Firefox或Chrome中正常工作。 我尝试从我的组织添加2个受信任的证书但它失败了:
当然,它失败了。 因为您无法导入证书以获取非原始密钥的链。 并回到你的测试用例……
我在测试用例中可以看到以下内容:
- A)你可能是myalias或者myalias_root和myalias_auth key(s) – 在这里提供更多细节
- B)您尝试导入ORGRooTCA和ORGTrustedCertificationAuthority
- C)你试着签一个测试jar
在步骤B中,您尝试导入2个证书。 所以我必须问
- 是使用myalias_root生成的两个证书
myalias_auth CSR(s)?
如果他们不是这样,我想你只是跳过一些步骤如下:
- A)Gen myalias_root和myalias_auth key(s)
- B) myalias_root _root和myalias_auth的 Gen CSR
- C)使用myalias_root和基因证书ORGRooTCA和ORGTrustedCertificationAuthority
myalias_auth CSR(s) - D)将证书导入为ORGRooTCA和ORGTrustedCertificationAuthority以获取链
- E)尝试签署测试jar
又一次……
我尝试从我的组织添加2个受信任的证书但它失败了:
结果,我可以给你建议
- A)不仅获取组织的证书,还获取证书生成的密钥库密钥
- B)按照前面提到的ABCDE步骤生成您自己的密钥和您自己的证书:)
我申请了证书,他们为我提供了一个链接,让它进入浏览器。 然后我导出它(从Firefox)以获取名为mystore.p12的PKCS#12文件。
您手动导入它,然后按照此处所述导出它?
好的……这很有趣。 如果您仍然确定您的pfx中的所有内容:S仍然可以使用demo重新播放您的jarsigner。 所以你将test_applet.jar签名为
/* SIGN THE JAR */ c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mystore.p12 test_applet.jar "id de yann39" Enter Passphrase for keystore: ******** updating: META-INF/MANIFEST.MF adding: META-INF/ID_DE_YA.SF adding: META-INF/ID_DE_YA.RSA signing: test.class
…这是非常标准的签名方式,但我想指出一些细节…我看不到jarsigner 要求你输入“id de yann39”私钥密码 :S? 我只能看到您输入密钥库密码…在您的复制粘贴版本或jarsigner中跳过的步骤是否真的不要求您输入密钥密码?
作为试用版,我建议你尝试使用-keypass arg作为签名你的jar(参见示例)
jarsigner -keystore C:\working\mystore -storepass myspass -keypass dukekeypasswd MyJarFile.jar duke
有关更多详细信息,请参阅如何使用jarsigner文档…
我没有对证书进行任何更改,所以是的,我猜这是原始的私钥? 关于你的编辑:是的我按照链接中的描述导出它,但是我使用了“全部备份”,而不是“备份”,否则我没有在我的.p12文件中获得整个证书链。 关于.jar文件的签名,我没有跳过任何内容,jarsigner只询问我的密钥库密码。 我认为密钥库密码和私钥密码是一样的,
如果您使用keytool在密钥库中生成密钥,则必须知道密钥库具有其密码,并且新生成的私钥应具有自己的密码; 所以我想也许这里可能缺少一些东西:S你会感兴趣的是A)将你的pfx导入IE并用IE导出它,如下所述:因为“是导出私钥”说明+“包括证书路径中的所有证书如果可能的话”
PS如果有帮助,请评论