从applet安全警告中删除"UNKNOWN"发布者
Yan*_*n39 13 java ssl applet signing certificate
我正在尝试签署一个applet,以便发布者不会显示为" UNKNOWN ":
我在一个组织工作,我们有自己的证书颁发机构,证书链如下:ORG Root CA> ORG Trusted Certification Authority> Yann39(me:D)
我申请了证书,他们为我提供了一个链接,让它进入浏览器.然后我导出它(从Firefox)以获取名为mystore.p12的PKCS#12文件.
然后我做了以下签署我的applet:
/* TO KNOW THE ALIAS */
c:\testrep>keytool -list -storetype pkcs12 -keystore mystore.p12
Enter keystore password: ********
Keystore type: pkcs12
Keystore provider: SunJSSE
Your keystore contains 1 entry
id de yann39, Oct 24, 2012, keyEntry,
Certificate fingerprint (MD5): D7:E3:83:1D:C1:40:68:72:5F:A8:6F:AC:3A:EA:DD:47
/* CREATE FAKE CLASS FILE AND BUILD A JAR */
c:\testrep>echo test > test.class
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jar cf0 test_applet.jar test.class
/* SIGN THE JAR */
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mystore.p12 test_applet.jar "id de yann39"
Enter Passphrase for keystore: ********
updating: META-INF/MANIFEST.MF
adding: META-INF/ID_DE_YA.SF
adding: META-INF/ID_DE_YA.RSA
signing: test.class
/* VERIFY THE SIGNATURE */
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verify -verbose -certs test_applet.jar
132 Wed Oct 24 17:49:52 CEST 2012 META-INF/MANIFEST.MF
185 Wed Oct 24 17:49:52 CEST 2012 META-INF/ID_DE_YA.SF
4801 Wed Oct 24 17:49:52 CEST 2012 META-INF/ID_DE_YA.RSA
0 Wed Oct 24 17:48:36 CEST 2012 META-INF/
sm 0 Wed Oct 24 17:47:46 CEST 2012 test.class
X.509, CN=Yann39, CN=794324, CN=myname, OU=Users, OU=Organic Units,
DC=myorg, DC=ch
X.509, CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
X.509, CN=ORG Root CA, DC=myorg, DC=ch
s = signature was verified
m = entry is listed in manifest
k = at least one certificate was found in keystore
i = at least one certificate was found in identity scope
jar verified.
c:\testrep>
然后我使用以下内容在我的应用程序中加载appled:
<object id="mytestapplet" width="0" height="0" style="position:absolute" type="application/x-java-applet">
<param name="archive" value="https://myhost.ch/rep/test_applet.jar">
<param name="code" value="test">
<param name="scriptable" value="true">
<param name="mayscript" value="no">
</object>
我读了一些像这样的帖子:如何用.pfx文件签署java applet?而且在从jar验证签名文件时我 似乎应该得到smi,这不仅sm意味着在密钥库中找不到证书.
所以我认为证书链不完整,但是在运行以下命令时,我发现事实并非如此:
c:\testrep>keytool -list -v -storetype pkcs12 -keystore mystore.p12
Enter keystore password: ********
Keystore type: pkcs12
Keystore provider: SunJSSE
Your keystore contains 1 entry
Alias name: id de yann39
Creation date: Oct 24, 2012
Entry type: keyEntry
Certificate chain length: 3
Certificate[1]:
Owner: CN=Yann39, CN=794324, CN=myname, OU=Users, OU=Organic Units,
DC=myorg, DC=ch
Issuer: CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
Serial number: 12d21eb200200000a02b
Valid from: Mon Jun 25 14:16:00 CEST 2011 until: Wed Jun 24 14:16:00 CEST 2013
Certificate fingerprints:
MD5: D7:E3:83:1D:C1:41:78:72:5F:A8:6D:BD:3A:ED:DD:48
SHA1: 24:31:1D:25:02:98:0D:F8:28:6A:F1:0E:E8:BB:04:7E:51:E2:E9:66
Certificate[2]:
Owner: CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
Issuer: CN=ORG Root CA, DC=myorg, DC=ch
Serial number: 601fab4c000000000003
Valid from: Tue Oct 02 11:36:53 CEST 2006 until: Mon Oct 02 11:47:53 CEST 2016
Certificate fingerprints:
MD5: 51:A1:EA:33:21:2C:71:60:A1:6F:F1:22:92:A8:51:8D
SHA1: 66:CD:70:13:27:68:F3:C2:08:F3:BE:5F:BF:D4:17:BD:85:9D:10:65
Certificate[3]:
Owner: CN=ORG Root CA, DC=myorg, DC=ch
Issuer: CN=ORG Root CA, DC=myorg, DC=ch
Serial number: 7dc0d089138d1d804b2e68e21b947412
Valid from: Tue Oct 02 10:55:19 CEST 2006 until: Sat Oct 02 11:01:47 CEST 2026
Certificate fingerprints:
MD5: A2:CE:DC:7D:F5:60:D7:2C:5E:B5:29:74:9D:51:F9:49
SHA1: DA:D8:7F:63:95:90:A2:E4:D4:1D:B9:48:FD:F4:C3:5C:FC:2B:B6:A3
*******************************************
*******************************************
c:\testrep>
这条链似乎很好.
但我仍然得到一个"未知"发布者的安全警告.为什么?
编辑25-OCT-2012
我忘了说它使用Internet Explorer("Signature已经过验证",Publisher是"Yann39"),而不是使用Chrome或Firefox.
我尝试使用自签名证书:
keytool -genkey -alias myalias -storetype PKCS12 -keystore mykeystore.p12 -dname "cn=Yann39, ou=UN, o=ORG, st=Geneva, c=CH"
keytool -list -v -storetype pkcs12 -keystore mykeystore.p12
echo test > test.class
C:\oracle\dev10gr2\jdk\bin\jar cf0 myapplet.jar test.class
C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mykeystore.p12 myapplet.jar "myalias"
C:\oracle\dev10gr2\jdk\bin\jarsigner -verify -verbose -certs myapplet.jar
它在IE或Firefox或Chrome中都不起作用,正常.
我尝试从我的组织添加2个受信任的证书但它失败了:
keytool -import -alias "myalias_root" -file ORGRooTCA.crt -storetype pkcs12 -keystore mykeystore.p12
keytool -import -alias "myalias_auth" -file ORGTrustedCertificationAuthority.crt -storetype pkcs12 -keystore mykeystore.p12
有错误:
keytool error: java.security.KeyStoreException: TrustedCertEntry not supported
我仍然不明白为什么它sm在验证签名时说在密钥库()中找不到证书.
编辑02-NOV-2012
我终于收到了我的认证机构的回复.由于代码签名证书仅供测试(我们的组织未正式支持),因此他们不提供任何帮助,他们关闭了我的机票......
2个证书ORG Root CA和ORG Trusted Certification Authority在3个浏览器(IE,Firefox,Chrome)中受到信任.运行我的applet时,我仍然在IE中得到预期的结果:
- 名称:applettest
- 出版社:Yann39
- 来自:https://myhost.ch
但不是在Firefox和Chrome中:
- 名称:测试
- 出版商:UNKNOWN
- 来自:https://myhost.ch
另一个奇怪的事情是,你看到IE正在引用"名称" <object>HTML(applettest)中使用的标记的ID ,而Firefox和Chrome引用主类的名称(测试).
我认为这与发布者的情况相同,IE正在查看CNRDN(Yann39),而Firefox和Chrome正在查看ORDN,但找不到一个,因为它没有在我的证书中定义.
如果有人有关于浏览器如何检查证书的更多信息,请分享.
谢谢.
Ole*_*hin 10
如果您拥有自己的CA并使用该CA颁发的证书签署applet,那么您显然需要将该CA的证书添加到受信任的证书颁发机构列表中.
在IE中运行时,Java插件似乎能够使用CA的系统列表,因此您只需将CA证书添加到系统证书存储中(确保在导入期间手动选择证书目标作为可信CA) ).
在Chrome或Firefox中运行时,Java插件由于某种原因不使用系统证书存储,而只使用其自己的单独证书存储.如果在Java插件证书存储中没有CA证书,则无论是否在"可信CA"系统证书存储中,当在这些浏览器中运行applet时,您将获得"UNKNOWN"发布者的"不安全"安全警告.
要将证书添加到Java插件存储:
- 打开Java控制面板
- 选择"安全"选项卡
- 单击"管理证书..."按钮
- 在"证书类型"组合框中选择"签名者CA"选项.
- 导入您的CA证书
下次使用Chrome或Firefox运行applet时,您将获得正常的"安全"安全警告,并可选择永久信任该applet.
| 归档时间: |
|
| 查看次数: |
44254 次 |
| 最近记录: |