我正在尝试签署一个小程序，这样发布者就不会显示为“未知”:

我为一个组织工作，我们有我们自己的证书颁发机构，证书链如下:ORG Root CA > ORG Trusted Certification Authority > Yann39 (我:D)

我申请了一个证书，他们为我提供了一个链接，可以将其放入浏览器。 然后我将其导出(从 Firefox)以获取我命名为 mystore.p12 的 PKCS#12 文件。

然后我做了以下签署我的小程序:

/* TO KNOW THE ALIAS */
c:\testrep>keytool -list -storetype pkcs12 -keystore mystore.p12
Enter keystore password:  ********

Keystore type: pkcs12
Keystore provider: SunJSSE

Your keystore contains 1 entry

id de yann39, Oct 24, 2012, keyEntry,
Certificate fingerprint (MD5): D7:E3:83:1D:C1:40:68:72:5F:A8:6F:AC:3A:EA:DD:47

/* CREATE FAKE CLASS FILE AND BUILD A JAR */
c:\testrep>echo test > test.class
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jar cf0 test_applet.jar test.class

/* SIGN THE JAR */
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mystore.p12 test_applet.jar "id de yann39"
Enter Passphrase for keystore: ********
 updating: META-INF/MANIFEST.MF
   adding: META-INF/ID_DE_YA.SF
   adding: META-INF/ID_DE_YA.RSA
  signing: test.class

/* VERIFY THE SIGNATURE */
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verify -verbose -certs test_applet.jar

         132 Wed Oct 24 17:49:52 CEST 2012 META-INF/MANIFEST.MF
         185 Wed Oct 24 17:49:52 CEST 2012 META-INF/ID_DE_YA.SF
        4801 Wed Oct 24 17:49:52 CEST 2012 META-INF/ID_DE_YA.RSA
           0 Wed Oct 24 17:48:36 CEST 2012 META-INF/
sm         0 Wed Oct 24 17:47:46 CEST 2012 test.class

      X.509, CN=Yann39, CN=794324, CN=myname, OU=Users, OU=Organic Units,
DC=myorg, DC=ch
      X.509, CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
      X.509, CN=ORG Root CA, DC=myorg, DC=ch


  s = signature was verified
  m = entry is listed in manifest
  k = at least one certificate was found in keystore
  i = at least one certificate was found in identity scope

jar verified.

c:\testrep>

然后我使用以下命令在我的应用程序中加载 appled:

<object id="mytestapplet" width="0" height="0" style="position:absolute" type="application/x-java-applet">
<param name="archive" value="https://myhost.ch/rep/test_applet.jar">
<param name="code" value="test">
<param name="scriptable" value="true">
<param name="mayscript" value="no">
</object>

我读了一些像这样的帖子:How to sign java applet with .pfx file?似乎我应该得到 smi从 jar 验证签名文件时，不仅 sm这意味着在 keystore 中找不到证书。

所以我以为证书链不完整，但是当运行以下命令时，我发现情况并非如此:

c:\testrep>keytool -list -v -storetype pkcs12 -keystore mystore.p12
Enter keystore password:  ********

Keystore type: pkcs12
Keystore provider: SunJSSE

Your keystore contains 1 entry

Alias name: id  de yann39
Creation date: Oct 24, 2012
Entry type: keyEntry
Certificate chain length: 3
Certificate[1]:
Owner: CN=Yann39, CN=794324, CN=myname, OU=Users, OU=Organic Units,
    DC=myorg, DC=ch
Issuer: CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
Serial number: 12d21eb200200000a02b
Valid from: Mon Jun 25 14:16:00 CEST 2011 until: Wed Jun 24 14:16:00 CEST 2013
Certificate fingerprints:
         MD5:  D7:E3:83:1D:C1:41:78:72:5F:A8:6D:BD:3A:ED:DD:48
         SHA1: 24:31:1D:25:02:98:0D:F8:28:6A:F1:0E:E8:BB:04:7E:51:E2:E9:66
Certificate[2]:
Owner: CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
Issuer: CN=ORG Root CA, DC=myorg, DC=ch
Serial number: 601fab4c000000000003
Valid from: Tue Oct 02 11:36:53 CEST 2006 until: Mon Oct 02 11:47:53 CEST 2016
Certificate fingerprints:
         MD5:  51:A1:EA:33:21:2C:71:60:A1:6F:F1:22:92:A8:51:8D
         SHA1: 66:CD:70:13:27:68:F3:C2:08:F3:BE:5F:BF:D4:17:BD:85:9D:10:65
Certificate[3]:
Owner: CN=ORG Root CA, DC=myorg, DC=ch
Issuer: CN=ORG Root CA, DC=myorg, DC=ch
Serial number: 7dc0d089138d1d804b2e68e21b947412
Valid from: Tue Oct 02 10:55:19 CEST 2006 until: Sat Oct 02 11:01:47 CEST 2026
Certificate fingerprints:
         MD5:  A2:CE:DC:7D:F5:60:D7:2C:5E:B5:29:74:9D:51:F9:49
         SHA1: DA:D8:7F:63:95:90:A2:E4:D4:1D:B9:48:FD:F4:C3:5C:FC:2B:B6:A3


*******************************************
*******************************************



c:\testrep>

链条看起来不错。

但我仍然收到来自“未知”发布者的安全警告。 为什么？

编辑 2012 年 10 月 25 日

我忘了说它可以使用 Internet Explorer(“签名已验证”并且发布者是“Yann39”)，而不是使用 Chrome 或 Firefox。

我尝试使用自签名证书:

keytool -genkey -alias myalias -storetype PKCS12 -keystore mykeystore.p12 -dname "cn=Yann39, ou=UN, o=ORG, st=Geneva, c=CH"
keytool -list -v -storetype pkcs12 -keystore mykeystore.p12
echo test > test.class
C:\oracle\dev10gr2\jdk\bin\jar cf0 myapplet.jar test.class
C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mykeystore.p12 myapplet.jar "myalias"
C:\oracle\dev10gr2\jdk\bin\jarsigner -verify -verbose -certs myapplet.jar

它在 IE 和 Firefox 或 Chrome 中都不起作用，正常。

我尝试添加来 self 的组织的 2 个可信证书，但失败:

keytool -import -alias "myalias_root" -file ORGRooTCA.crt -storetype pkcs12 -keystore mykeystore.p12
keytool -import -alias "myalias_auth" -file ORGTrustedCertificationAuthority.crt -storetype pkcs12 -keystore mykeystore.p12

错误:

keytool error: java.security.KeyStoreException: TrustedCertEntry not supported

我仍然不明白为什么在验证签名时它说在 keystore (sm)中找不到证书。

编辑 2012 年 11 月 2 日

我终于得到了我的证书颁发机构的回复。由于代码签名证书仅用于测试(我们组织未正式支持)，因此他们没有提供任何帮助，他们关闭了我的票...

ORG Root CA 和 ORG Trusted Certification Authority 这 2 个证书在 3 种浏览器(IE、Firefox、Chrome)中受信任。运行我的小程序时，我仍然在 IE 中得到预期的结果:

• 姓名:applettest
• 发布者:Yann39
• 发件人:https://myhost.ch

但在 Firefox 和 Chrome 中不是:

• 姓名:测试
• 发布者:未知
• 发件人:https://myhost.ch

另一件奇怪的事情是，如您所见，IE 将 <object> 的 ID 引用为“名称”。 HTML 中使用的标记 (applettest)，而 Firefox 和 Chrome 引用主类的名称 (test)。

我认为Publisher 也是一样，IE 正在查看CN RDN (Yann39) 而 Firefox 和 Chrome 正在查看 O RDN 并且找不到一个，因为它没有在我的证书中定义。

如果有人有更多关于浏览器如何检查证书的信息，请分享。

谢谢。

最佳答案

如果您拥有自己的 CA 并使用该 CA 颁发的证书签署小程序，那么您显然需要将该 CA 的证书添加到受信任的证书颁发机构列表中。

在IE中运行时，Java插件似乎可以使用CA的系统列表，所以你只需要将你的CA证书添加到系统证书存储中(一定要手动选择证书目的地作为受信任的CA在导入期间)。

当在 Chrome 或 Firefox 中运行时，由于某种原因，Java 插件不使用系统证书存储，而仅使用其自己的单独证书存储。如果在这些浏览器中运行小程序时，如果 CA 的证书不存在于 Java 插件证书存储中，无论它是否在“受信任的 CA”系统证书存储中，您将收到带有“未知”发布者的“不安全”安全警告。

将证书添加到 Java 插件存储:

• 打开 Java 控制面板
• 选择“安全”标签
• 点击“管理证书...”按钮
• 在“证书类型”组合框中选择“签名者 CA”选项。
• 导入您的 CA 证书

下次您使用 Chrome 或 Firefox 运行您的小程序时，您将看到一个正常的“安全”安全警告，并可选择永远信任该小程序。

关于java - 从小程序安全警告中删除 "UNKNOWN"发布者，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/13053922/