دليل توقيع كود جافا

سيساعدك هذا الدليل على بدء توقيع رمز Java الخاص بك إما مع OV / IV or EV شهادة توقيع الكود من SSL.com. تفترض هذه التعليمات أن Java Development Kit (JDK) مثبت على جهاز الكمبيوتر الخاص بك وأن keytool و jarsigner يتم تضمين الأوامر في المسار الخاص بك. تفترض تعليمات توقيع رمز Yubikey أن شهادتك مثبتة في الفتحة 9 أ من أ مفاتيح يوبيكي الرمز المميز ، حيث يتم شحنها بواسطة SSL.com.

إذا لم يكن لديك شهادة توقيع رمز حتى الآن ولست متأكدًا من النوع الذي تريده ، فيرجى القراءة هذه الأسئلة الشائعة.

توقيع رمز OV / IV (فقط لشهادات OV / IV الصادرة قبل 1 يونيو 2023)

الاعداد

الطريقة 1: إنشاء CSR وملف PFX في المستعرض

إن أبسط طريقة للبدء بسرعة مع توقيع رمز Java هي إنشاء CSR وملف PFX عند استرداد شهادتك من SSL.com وتثبيتها في مخزن مفاتيح Java جديد.

1. اتبع الخطوات الموضحة في طلب واسترجاع شهادات توقيع الكود لطلب شهادتك وتنزيل ملف PFX مع شهادتك ومفتاحك الخاص.
2. قم باستيراد PFX إلى مخزن مفاتيح جديد بنفس كلمة المرور باستخدام الأمر أدناه. (يحل محل MY-CERTIFICATE.p12 و MY-KEYSTORE.jks بالاسم الفعلي لملف PFX واسم الملف الذي تريد منحه لمخزن المفاتيح الخاص بك. لاحظ أيضا أن destalias أمر تعسفي ويمكنك استخدام قيمة اسم مستعار أخرى إذا رغبت في ذلك.)

   keytool -importkeystore -srckeystore MY-PFX.p12 -srcstoretype pkcs12 -srcalias 1 -destkeystore MY-KEYSTORE.jks -deststoretype JKS -destalias codeigning

   ملحوظة: القيمة ل -srcalias لملف PFX الذي تم تنزيله من SSL.com يجب أن يكون عادةً 1، ولكن يمكنك تأكيد ذلك عن طريق تشغيل الأمر keytool -list -v -storetype pkcs12 -keystore MY-PFX.P12 والتحقق من القيمة المعروضة Alias name.
3. ستتم مطالبتك بكلمة مرور لمستودع المفاتيح الوجهة ، ثم كلمة مرور مخزن المفاتيح المصدر (كلمة المرور التي أدخلتها عند إنشاء PFX). قد ترى أيضًا رسالة تحذير تبدأ بـ Warning: The JKS keystore uses a proprietary format. يمكنك تجاهل هذه الرسالة بأمان.

الطريقة 2: إنشاء زوج المفاتيح و CSR مع Java

إذا كنت تفضل إنشاء زوج المفاتيح و CSR باستخدام Java ، اتبع الخطوات الواردة في هذا القسم. العملية هي نفسها التي يتم استخدامها لإنشاء CSR ل SSL /TLS شهادة في جافا.

إنشاء Keystore وزوج المفاتيح

1. أولاً ، سننشئ keystore وزوج مفاتيح عام / خاص. يستخدم Java الملفات ذات الامتداد .jks (Java KeyStore) لتخزين الشهادات ومفاتيح التشفير. أدخل الأمر التالي لإنشاء مخزن مفاتيح وزوج مفاتيح RSA 3072 بت. (يحل محل MY-KEYSTORE.jks بالاسم الذي تريد أن يكون الملف.)

   keytool -genkeypair -alias codeigning -keyalg RSA -keysize 3072 -keystore MY-KEYSTORE.jks

2. ستظهر لك سلسلة من المطالبات. أولاً ، أنشئ كلمة مرور وتحقق منها لمستودع المفاتيح ، ثم أدخل المعلومات المطلوبة وتحقق منها. (استبدل القيم الموضحة بالأحرف الكبيرة بمعلوماتك الخاصة.)

   أدخل كلمة مرور تخزين المفاتيح: أعد إدخال كلمة المرور الجديدة: ما هو اسمك الأول والأخير؟ [غير معروف]: FIRSTNAME LASTNAME ما اسم مؤسستك؟ [غير معروف]: شركة ما هو اسم مدينتك أو منطقتك؟ [غير معروف]: CITY ما هو اسم ولايتك أو مقاطعتك؟ [غير معروف]: STATE ما هو رمز البلد المكون من حرفين لهذه الوحدة؟ [غير معروف]: US Is CN = FIRSTNAME LASTNAME ، OU = DEPARTMENT ، O = COMPANY ، L = CITY ، ST = STATE ، C = US ، صحيح؟ [لا نعم

3. تم إنشاء ملف keystore وأنت على استعداد لإنشاء ملف CSR.

توليد CSR

1. أدخل الأمر التالي لإنشاء CSR من مخزن المفاتيح الذي أنشأناه للتو. (يحل محل MY-KEYSTORE.jks بالقيمة التي استخدمتها عند إنشاء مخزن المفاتيح و MY-CSR.csr بالاسم الذي تريد استخدامه لـ CSR.)

   keytool -certreq -alias رمز التوقيع -ملف MY-CSR.csr -متجر المفاتيح MY-KEYSTORE.jks

2. أدخل كلمة المرور التي أنشأتها عند إنشاء مخزن المفاتيح.

   أدخل كلمة مرور ملف تخزين المفاتيح:

3. • CSR تم إنشاء. إذا كنت مستعدًا لطلب شهادتك من SSL.com ، فافتح الملف في محرر نصي لنسخه ولصقه في ملف CSR المجال عند الطلب. ستبدو محتويات الملف مثل المثال الموضح أدناه:

   -----BEGIN NEW CERTIFICATE REQUEST-----
   MIIC5TCCAc0CAQAwcDELMAkGA1UEBhMCVVMxDjAMBgNVBAgTBVNUQVRFMQ0wCwYD
   VQQHEwRDSVRZMRAwDgYDVQQKEwdDT01QQU5ZMRMwEQYDVQQLEwpERVBBUlRNRU5U
   MRswGQYDVQQDExJGSVJTVE5BTUUgTEFTVE5BTUUwggEiMA0GCSqGSIb3DQEBAQUA
   A4IBDwAwggEKAoIBAQCrRyk8VLs1THls+vfz0YtMJ3qYYl4c5c499d1YSbfQHa6L
   kIYhKTxvgdtbD+ePDigKB40CpeuMp5Yu8R6g2YIVBpGMrejAZYAmrzs6tfjpelh0
   ocSDwYr7H8qQ9jq6MfZTu6J7EjS5RMODB6MVq1usKg3H866xbi6lqAtcktEF+zlM
   4FW9Tm3H/DW2G7EnTjlMPzgaXNIU7lLar7YAWPJgv83NV8lQNCDW4lFlZLWBU95r
   YkJ4gfWUFUyPc+AiGbsyDdrVjPvF5yaebnFDrwheFaWeTTigSfLY688G7bpA8VvE
   lKioCl8nlJlc9HOBNKKdhs4qEtF0BwSE8tOgbkWPAgMBAAGgMDAuBgkqhkiG9w0B
   CQ4xITAfMB0GA1UdDgQWBBTmVpJp824krUaJKrQNhsSbVjJA1jANBgkqhkiG9w0B
   AQsFAAOCAQEALlux89RkXyHN4PQqQHbShSeTTWLURII+F+OSK9N1RS5l8V7AMcRM
   wvOkPP7JBRCKiaFGTW+5vcLQNnWRqQZMe0I4E0jzhL2gGsdChPIJy9Jwgn3Rzxmw
   8V0lBY1SHQ9LKgSK0jIer3PQhXHDJlE2g2Dx8nJ4WJk7l2OTF9Kkly9hg8MOQdeg
   VIcs3HLsVI9Cwd6UHRT6ruKL3+bRgEcb6qj+qcrKHkzN7KXbOEznd10nAm87wENS
   mTb012ZFMlpUDvPNAHQgoGJ6slA+pIoH1fvrkosjql7R/H7Q+onm37Qa6d9L2ZqM
   MhgNpNWVwI0UBU4Xy4p9oUCJnvHhQ7U+3w==
   -----END NEW CERTIFICATE REQUEST-----

طلب واسترجاع الشهادة

1. اتبع الخطوات الموضحة في طلب واسترجاع شهادات توقيع الكود من خلال الخطوة 24. بدلا من النقر على الفور إنشاء شهادة الزر ، حدد المربع المسمى لدي خصوصيتي CSR.
   
2. لصق الخاص بك CSR في حقل النموذج وانقر على إنشاء شهادة .
   
3. انقر على تحميل الزر وحفظ الزر .crt في نفس المكان الذي قمت فيه بإنشاء مخزن المفاتيح الخاص بك.
   

استيراد شهادة إلى Keystore

1. استخدم الأمر التالي لاستيراد الشهادة إلى ملف تخزين مفاتيح Java الخاص بك. (استبدل MY-CERTIFICATE.crt و MY-KEYSTORE.jks بأسماء الملفات الفعلية.)

   keytool -importcert -file MY-CERTIFICATE.crt -keystore MY-KEYSTORE.jks -trustcacerts -alias codeigning

2. أدخل كلمة مرور مخزن المفاتيح عند مطالبتك بذلك.

   أدخل كلمة مرور ملف تخزين المفاتيح:  

3. شهادتك مثبتة في مخزن المفاتيح وأنت على استعداد لبدء توقيع الملفات.

   تم تثبيت رد الشهادة في مخزن المفاتيح

تسجيل الملفات مع Jarsigner

1. استخدم الأمر التالي لإضافة توقيع رقمي مختوم بالوقت إلى .jar ملف. (يحل محل /PATH/TO/MY-KEYSTORE.jks و MY-JAR.jar مع أسماء الملفات الفعلية التي تستخدمها. إذا استخدمت اسمًا مستعارًا مختلفًا عند إعداد مخزن المفاتيح ، فاستبدله codesigning في الأمر.)

   jarsigner -tsa http://ts.ssl.com -keystore MY-KEYSTORE.jks MY-JAR.jar codeigning

   ملحوظة: من الممكن ايضا التوقيع الخاص بك .jar الملفات مباشرة مع ملف PFX غير المحولة عن طريق إضافة -storetype pkcs12 العلم ل jarsigner أمر.
   
   
   ملحوظة: بشكل افتراضي ، يدعم SSL.com الطوابع الزمنية من مفاتيح ECDSA.
   
   إذا واجهت هذا الخطأ: The timestamp certificate does not meet a minimum public key length requirement، يجب عليك الاتصال ببائع البرنامج للسماح بالطوابع الزمنية من مفاتيح ECDSA.
   
   إذا لم تكن هناك طريقة تسمح لمورّد البرامج لديك باستخدام نقطة النهاية العادية ، فيمكنك استخدام نقطة النهاية القديمة هذه http://ts.ssl.com/legacy للحصول على طابع زمني من وحدة طابع زمني RSA.
2. أدخل كلمة مرور مخزن المفاتيح عند المطالبة.

   أدخل عبارة المرور لمتجر المفاتيح: 

3. الملف موقّع الآن. يمكنك التحقق من التوقيع باستخدام الأمر التالي:

   jarsigner -التحقق من-overbose MY-JAR.jar

4. إذا تم توقيع ملفك بنجاح ، يجب أن يتضمن إخراج الأمر هذا السطر:

   تم التحقق من التوقيع = s
   

توقيع رمز IV و OV و EV باستخدام YubiKey

الاعداد

قم بتثبيت برنامج تشغيل PKCS # 11 وإنشاء ملف eToken.cfg

Windows

1. قم بتثبيت OpenSC باتباع التعليمات الموجودة في OpenSC البدء السريع لـ Windows.
2. حدد موقع برنامج تشغيل OpenSC PKCS # 11. موقع التثبيت الافتراضي هو C:\Program Files\OpenSC Project\OpenSC\pkcs11\opensc-pkcs11.dll.
3. قم بإنشاء ملف تكوين وحفظه في موقع مناسب (مثل دليل منزلك). اسم الملف تعسفي ، لكننا سنستخدمه في هذا الدليل yubikey-pkcs11-java.cfg. يجب أن يحتوي الملف على المعلومات التالية:

   name = OpenSC-PKCS11 description = SunPKCS11 عبر مكتبة OpenSC = C: \ Program Files \ OpenSC Project \ OpenSC \ pkcs11 \ opensc-pkcs11.dll slotListIndex = 0

ماك

1. تثبيت OpenSC. إذا كنت تستخدم البيرة كمدير حزم ، يمكنك تثبيت OpenSC باستخدام الأمر التالي:

   يفتح الشراب تثبيت ج

2. حدد موقع برنامج تشغيل OpenSC PKCS # 11. إذا قمت بالتثبيت باستخدام Homebrew ، يجب أن يكون الملف متاحًا على /usr/local/lib/opensc-pkcs11.so.
3. قم بإنشاء ملف تكوين وحفظه في موقع مناسب (مثل دليل منزلك). اسم الملف تعسفي ، لكننا سنستخدمه في هذا الدليل yubikey-pkcs11-java.cfg. يجب أن يحتوي الملف على المعلومات التالية:

   name = OpenSC-PKCS11 الوصف = SunPKCS11 عبر مكتبة OpenSC = /usr/local/lib/opensc-pkcs11.so slotListIndex = 0

تسجيل الملفات مع Jarsigner

1. استخدم الأمر التالي لإضافة توقيع رقمي مختوم بالوقت إلى .jar ملف. (يحل محل MY-JAR.jar مع اسم الملف الفعلي الذي تستخدمه.)

   jarsigner -tsa http://ts.ssl.com -providerClass sun.security.pkcs11.SunPKCS11 -providerArg yubikey-pkcs11-java.cfg -keystore NONE -storetype PKCS11 MY-JAR.jar "شهادة مصادقة PIV"

2. أدخل رقم التعريف الشخصي لـ YubiKey في موجه عبارة المرور.

   أدخل عبارة المرور لمتجر المفاتيح: 

3. الملف موقّع الآن. يمكنك التحقق من التوقيع باستخدام الأمر التالي:

   jarsigner -التحقق من-overbose MY-JAR.jar

4. إذا تم توقيع ملفك بنجاح ، يجب أن يتضمن إخراج الأمر هذا السطر:

   تم التحقق من التوقيع = s