سيساعدك هذا الدليل على بدء توقيع رمز Java الخاص بك إما مع OV / IV or EV شهادة توقيع الكود من SSL.com. تفترض هذه التعليمات أن Java Development Kit (JDK) مثبت على جهاز الكمبيوتر الخاص بك وأن keytool
و jarsigner
يتم تضمين الأوامر في المسار الخاص بك. تفترض تعليمات توقيع رمز Yubikey أن شهادتك مثبتة في الفتحة 9 أ من أ مفاتيح يوبيكي الرمز المميز ، حيث يتم شحنها بواسطة SSL.com.
إذا لم يكن لديك شهادة توقيع رمز حتى الآن ولست متأكدًا من النوع الذي تريده ، فيرجى القراءة هذه الأسئلة الشائعة.
توقيع رمز OV / IV (فقط لشهادات OV / IV الصادرة قبل 1 يونيو 2023)
الاعداد
الطريقة 1: إنشاء CSR وملف PFX في المستعرض
إن أبسط طريقة للبدء بسرعة مع توقيع رمز Java هي إنشاء CSR وملف PFX عند استرداد شهادتك من SSL.com وتثبيتها في مخزن مفاتيح Java جديد.
.jar
الملفات مباشرة مع ملف PFX غير المحولة عن طريق إضافة -storetype pkcs12
العلم ل jarsigner
أمر.- اتبع الخطوات الموضحة في طلب واسترجاع شهادات توقيع الكود لطلب شهادتك وتنزيل ملف PFX مع شهادتك ومفتاحك الخاص.
- قم باستيراد PFX إلى مخزن مفاتيح جديد بنفس كلمة المرور باستخدام الأمر أدناه. (يحل محل
MY-CERTIFICATE.p12
وMY-KEYSTORE.jks
بالاسم الفعلي لملف PFX واسم الملف الذي تريد منحه لمخزن المفاتيح الخاص بك. لاحظ أيضا أنdestalias
أمر تعسفي ويمكنك استخدام قيمة اسم مستعار أخرى إذا رغبت في ذلك.)keytool -importkeystore -srckeystore MY-PFX.p12 -srcstoretype pkcs12 -srcalias 1 -destkeystore MY-KEYSTORE.jks -deststoretype JKS -destalias codeigning
ملحوظة: القيمة ل-srcalias
لملف PFX الذي تم تنزيله من SSL.com يجب أن يكون عادةً1
، ولكن يمكنك تأكيد ذلك عن طريق تشغيل الأمرkeytool -list -v -storetype pkcs12 -keystore MY-PFX.P12
والتحقق من القيمة المعروضةAlias name
. - ستتم مطالبتك بكلمة مرور لمستودع المفاتيح الوجهة ، ثم كلمة مرور مخزن المفاتيح المصدر (كلمة المرور التي أدخلتها عند إنشاء PFX). قد ترى أيضًا رسالة تحذير تبدأ بـ
Warning: The JKS keystore uses a proprietary format
. يمكنك تجاهل هذه الرسالة بأمان.
الطريقة 2: إنشاء زوج المفاتيح و CSR مع Java
إذا كنت تفضل إنشاء زوج المفاتيح و CSR باستخدام Java ، اتبع الخطوات الواردة في هذا القسم. العملية هي نفسها التي يتم استخدامها لإنشاء CSR ل SSL /TLS شهادة في جافا.
إنشاء Keystore وزوج المفاتيح
- أولاً ، سننشئ keystore وزوج مفاتيح عام / خاص. يستخدم Java الملفات ذات الامتداد
.jks
(Java KeyStore) لتخزين الشهادات ومفاتيح التشفير. أدخل الأمر التالي لإنشاء مخزن مفاتيح وزوج مفاتيح RSA 3072 بت. (يحل محلMY-KEYSTORE.jks
بالاسم الذي تريد أن يكون الملف.)keytool -genkeypair -alias codeigning -keyalg RSA -keysize 3072 -keystore MY-KEYSTORE.jks
- ستظهر لك سلسلة من المطالبات. أولاً ، أنشئ كلمة مرور وتحقق منها لمستودع المفاتيح ، ثم أدخل المعلومات المطلوبة وتحقق منها. (استبدل القيم الموضحة بالأحرف الكبيرة بمعلوماتك الخاصة.)
أدخل كلمة مرور تخزين المفاتيح: أعد إدخال كلمة المرور الجديدة: ما هو اسمك الأول والأخير؟ [غير معروف]: FIRSTNAME LASTNAME ما اسم مؤسستك؟ [غير معروف]: شركة ما هو اسم مدينتك أو منطقتك؟ [غير معروف]: CITY ما هو اسم ولايتك أو مقاطعتك؟ [غير معروف]: STATE ما هو رمز البلد المكون من حرفين لهذه الوحدة؟ [غير معروف]: US Is CN = FIRSTNAME LASTNAME ، OU = DEPARTMENT ، O = COMPANY ، L = CITY ، ST = STATE ، C = US ، صحيح؟ [لا نعم
- تم إنشاء ملف keystore وأنت على استعداد لإنشاء ملف CSR.
توليد CSR
- أدخل الأمر التالي لإنشاء CSR من مخزن المفاتيح الذي أنشأناه للتو. (يحل محل
MY-KEYSTORE.jks
بالقيمة التي استخدمتها عند إنشاء مخزن المفاتيح وMY-CSR.csr
بالاسم الذي تريد استخدامه لـ CSR.)keytool -certreq -alias رمز التوقيع -ملف MY-CSR.csr -متجر المفاتيح MY-KEYSTORE.jks
- أدخل كلمة المرور التي أنشأتها عند إنشاء مخزن المفاتيح.
أدخل كلمة مرور ملف تخزين المفاتيح:
- • CSR تم إنشاء. إذا كنت مستعدًا لطلب شهادتك من SSL.com ، فافتح الملف في محرر نصي لنسخه ولصقه في ملف CSR المجال عند الطلب. ستبدو محتويات الملف مثل المثال الموضح أدناه:
-----BEGIN NEW CERTIFICATE REQUEST----- MIIC5TCCAc0CAQAwcDELMAkGA1UEBhMCVVMxDjAMBgNVBAgTBVNUQVRFMQ0wCwYD VQQHEwRDSVRZMRAwDgYDVQQKEwdDT01QQU5ZMRMwEQYDVQQLEwpERVBBUlRNRU5U MRswGQYDVQQDExJGSVJTVE5BTUUgTEFTVE5BTUUwggEiMA0GCSqGSIb3DQEBAQUA A4IBDwAwggEKAoIBAQCrRyk8VLs1THls+vfz0YtMJ3qYYl4c5c499d1YSbfQHa6L kIYhKTxvgdtbD+ePDigKB40CpeuMp5Yu8R6g2YIVBpGMrejAZYAmrzs6tfjpelh0 ocSDwYr7H8qQ9jq6MfZTu6J7EjS5RMODB6MVq1usKg3H866xbi6lqAtcktEF+zlM 4FW9Tm3H/DW2G7EnTjlMPzgaXNIU7lLar7YAWPJgv83NV8lQNCDW4lFlZLWBU95r YkJ4gfWUFUyPc+AiGbsyDdrVjPvF5yaebnFDrwheFaWeTTigSfLY688G7bpA8VvE lKioCl8nlJlc9HOBNKKdhs4qEtF0BwSE8tOgbkWPAgMBAAGgMDAuBgkqhkiG9w0B CQ4xITAfMB0GA1UdDgQWBBTmVpJp824krUaJKrQNhsSbVjJA1jANBgkqhkiG9w0B AQsFAAOCAQEALlux89RkXyHN4PQqQHbShSeTTWLURII+F+OSK9N1RS5l8V7AMcRM wvOkPP7JBRCKiaFGTW+5vcLQNnWRqQZMe0I4E0jzhL2gGsdChPIJy9Jwgn3Rzxmw 8V0lBY1SHQ9LKgSK0jIer3PQhXHDJlE2g2Dx8nJ4WJk7l2OTF9Kkly9hg8MOQdeg VIcs3HLsVI9Cwd6UHRT6ruKL3+bRgEcb6qj+qcrKHkzN7KXbOEznd10nAm87wENS mTb012ZFMlpUDvPNAHQgoGJ6slA+pIoH1fvrkosjql7R/H7Q+onm37Qa6d9L2ZqM MhgNpNWVwI0UBU4Xy4p9oUCJnvHhQ7U+3w== -----END NEW CERTIFICATE REQUEST-----
طلب واسترجاع الشهادة
- اتبع الخطوات الموضحة في طلب واسترجاع شهادات توقيع الكود من خلال الخطوة 24. بدلا من النقر على الفور إنشاء شهادة الزر ، حدد المربع المسمى لدي خصوصيتي CSR.
- لصق الخاص بك CSR في حقل النموذج وانقر على إنشاء شهادة .
- انقر على تحميل الزر وحفظ الزر
.crt
في نفس المكان الذي قمت فيه بإنشاء مخزن المفاتيح الخاص بك.
استيراد شهادة إلى Keystore
- استخدم الأمر التالي لاستيراد الشهادة إلى ملف تخزين مفاتيح Java الخاص بك. (استبدل MY-CERTIFICATE.crt و MY-KEYSTORE.jks بأسماء الملفات الفعلية.)
keytool -importcert -file MY-CERTIFICATE.crt -keystore MY-KEYSTORE.jks -trustcacerts -alias codeigning
- أدخل كلمة مرور مخزن المفاتيح عند مطالبتك بذلك.
أدخل كلمة مرور ملف تخزين المفاتيح:
- شهادتك مثبتة في مخزن المفاتيح وأنت على استعداد لبدء توقيع الملفات.
تم تثبيت رد الشهادة في مخزن المفاتيح
تسجيل الملفات مع Jarsigner
- استخدم الأمر التالي لإضافة توقيع رقمي مختوم بالوقت إلى
.jar
ملف. (يحل محل/PATH/TO/MY-KEYSTORE.jks
وMY-JAR.jar
مع أسماء الملفات الفعلية التي تستخدمها. إذا استخدمت اسمًا مستعارًا مختلفًا عند إعداد مخزن المفاتيح ، فاستبدلهcodesigning
في الأمر.)jarsigner -tsa http://ts.ssl.com -keystore MY-KEYSTORE.jks MY-JAR.jar codeigning
ملحوظة: من الممكن ايضا التوقيع الخاص بك.jar
الملفات مباشرة مع ملف PFX غير المحولة عن طريق إضافة-storetype pkcs12
العلم لjarsigner
أمر.
ملحوظة: بشكل افتراضي ، يدعم SSL.com الطوابع الزمنية من مفاتيح ECDSA.
إذا واجهت هذا الخطأ:The timestamp certificate does not meet a minimum public key length requirement
، يجب عليك الاتصال ببائع البرنامج للسماح بالطوابع الزمنية من مفاتيح ECDSA.
إذا لم تكن هناك طريقة تسمح لمورّد البرامج لديك باستخدام نقطة النهاية العادية ، فيمكنك استخدام نقطة النهاية القديمة هذهhttp://ts.ssl.com/legacy
للحصول على طابع زمني من وحدة طابع زمني RSA. - أدخل كلمة مرور مخزن المفاتيح عند المطالبة.
أدخل عبارة المرور لمتجر المفاتيح:
- الملف موقّع الآن. يمكنك التحقق من التوقيع باستخدام الأمر التالي:
jarsigner -التحقق من-overbose MY-JAR.jar
- إذا تم توقيع ملفك بنجاح ، يجب أن يتضمن إخراج الأمر هذا السطر:
تم التحقق من التوقيع = s
توقيع رمز IV و OV و EV باستخدام YubiKey
الاعداد
قم بتثبيت برنامج تشغيل PKCS # 11 وإنشاء ملف eToken.cfg
Windows
- قم بتثبيت OpenSC باتباع التعليمات الموجودة في OpenSC البدء السريع لـ Windows.
- حدد موقع برنامج تشغيل OpenSC PKCS # 11. موقع التثبيت الافتراضي هو
C:\Program Files\OpenSC Project\OpenSC\pkcs11\opensc-pkcs11.dll
. - قم بإنشاء ملف تكوين وحفظه في موقع مناسب (مثل دليل منزلك). اسم الملف تعسفي ، لكننا سنستخدمه في هذا الدليل
yubikey-pkcs11-java.cfg
. يجب أن يحتوي الملف على المعلومات التالية:name = OpenSC-PKCS11 description = SunPKCS11 عبر مكتبة OpenSC = C: \ Program Files \ OpenSC Project \ OpenSC \ pkcs11 \ opensc-pkcs11.dll slotListIndex = 0
ماك
- تثبيت OpenSC. إذا كنت تستخدم البيرة كمدير حزم ، يمكنك تثبيت OpenSC باستخدام الأمر التالي:
يفتح الشراب تثبيت ج
- حدد موقع برنامج تشغيل OpenSC PKCS # 11. إذا قمت بالتثبيت باستخدام Homebrew ، يجب أن يكون الملف متاحًا على
/usr/local/lib/opensc-pkcs11.so
. - قم بإنشاء ملف تكوين وحفظه في موقع مناسب (مثل دليل منزلك). اسم الملف تعسفي ، لكننا سنستخدمه في هذا الدليل
yubikey-pkcs11-java.cfg
. يجب أن يحتوي الملف على المعلومات التالية:name = OpenSC-PKCS11 الوصف = SunPKCS11 عبر مكتبة OpenSC = /usr/local/lib/opensc-pkcs11.so slotListIndex = 0
تسجيل الملفات مع Jarsigner
- استخدم الأمر التالي لإضافة توقيع رقمي مختوم بالوقت إلى
.jar
ملف. (يحل محلMY-JAR.jar
مع اسم الملف الفعلي الذي تستخدمه.)jarsigner -tsa http://ts.ssl.com -providerClass sun.security.pkcs11.SunPKCS11 -providerArg yubikey-pkcs11-java.cfg -keystore NONE -storetype PKCS11 MY-JAR.jar "شهادة مصادقة PIV"
- أدخل رقم التعريف الشخصي لـ YubiKey في موجه عبارة المرور.
أدخل عبارة المرور لمتجر المفاتيح:
- الملف موقّع الآن. يمكنك التحقق من التوقيع باستخدام الأمر التالي:
jarsigner -التحقق من-overbose MY-JAR.jar
- إذا تم توقيع ملفك بنجاح ، يجب أن يتضمن إخراج الأمر هذا السطر:
تم التحقق من التوقيع = s