Java-koodin allekirjoittamisopas

Katso kaikki oppaat

Tämä opas auttaa sinua aloittamaan Java-koodisi allekirjoittamisen joko OV / IV or EV koodin allekirjoitusvarmenne SSL.com: lta. Näissä ohjeissa oletetaan, että Java Development Kit (JDK) on asennettu tietokoneellesi ja että keytool ja jarsigner komennot sisältyvät polkuun. Yubikey-koodin allekirjoitusohjeet olettavat, että varmenne on asennettu paikkaan 9a kohdasta a YubiKey FIPS rahakkeen, koska SSL.com lähettää ne.

1. kesäkuuta 2023 alkaen, SSL.comin Organisaation validointi (OV) ja Individual Validation (IV) koodin allekirjoitussertifikaatit on myönnetty joko Federal Information Processing Standard 140-2 (FIPS 140-2) USB-tunnuksilla tai eSigner-pilvikoodiallekirjoituspalvelumme kautta. Tämä muutos on vaatimusten mukainen varmentaja/selain (CA/B) -foorumin uusien avainten tallennusvaatimusten kanssa koodin allekirjoitusavainten turvallisuuden lisäämiseksi.

Jos sinulla ei vielä ole koodin allekirjoitustodistusta etkä ole varma, mitä tyyppiä tarvitset, lue tämä FAQ.

SSL.com n OV / IV -koodien allekirjoittaminen sertifikaatit ovat taloudellinen tapa suojata koodiasi luvattomalta manipuloinnilta ja kompromisseilta, ja niitä on saatavana vain vähän $ 64.50 vuodessa.

TILAA NYT

OV/IV-koodin allekirjoitus (vain OV/IV-varmenteille, jotka on myönnetty ennen 1)

Konfigurointi

Menetelmä 1: Luo CSR ja PFX-tiedosto selaimessa

Yksinkertaisin tapa aloittaa nopeasti Java-koodin allekirjoittaminen on luoda CSR ja PFX-tiedosto, kun haet varmentettasi SSL-sivustolta ja asennat sen uuteen Java-avainkontitilaan.

Huomautus: On myös mahdollista allekirjoittaa .jar tiedostot suoraan muuntamattomalla PFX-tiedostolla lisäämällä -storetype pkcs12 lippu jarsigner komento.
  1. Seuraa vaiheita, jotka on esitetty kohdassa Koodin allekirjoitussertifikaattien tilaaminen ja noutaminen Voit tilata varmenteen ja ladata PFX-tiedoston varmenteellasi ja yksityisellä avaimella.
  2. Tuo PFX uuteen näppäimistöön samalla salasanalla käyttämällä alla olevaa komentoa. (Korvata MY-CERTIFICATE.p12 ja MY-KEYSTORE.jks PFX-tiedostosi todellisella nimellä ja tiedostonimellä, jonka haluat antaa avainsäilöön. Huomaa myös, että destalias on mielivaltainen ja voit halutessasi käyttää toista aliaksen arvoa.) 
    näppäimistö -import näppäimistö -srckeystore MY-PFX.p12 -srcstoretype pkcs12 -srcalias 1 -destkeyystore MY-KEYSTORE.jks -deststoretype JKS -destalias codeigning
    Huomautus: -Arvon arvo -srcalias SSL: ltä ladatun PFX-tiedoston pitäisi yleensä olla 1, mutta voit vahvistaa tämän suorittamalla komennon keytool -list -v -storetype pkcs12 -keystore MY-PFX.P12 ja tarkistetaan Alias name.
  3. Sinulta kysytään salasana kohdeavainsäilöön ja sitten lähdeavainsanan salasana (salasana, jonka syötit PFX: ää luotaessa). Saatat nähdä myös varoitusviestin, joka alkaa Warning: The JKS keystore uses a proprietary format. Voit ohittaa tämän viestin turvallisesti.

Tapa 2: Luo avainpari ja CSR Javan kanssa

Jos haluat luoda avainparisi ja CSR noudata Javaa, tämän osan ohjeita. Prosessi on sama, jota käytetään luomaan CSR for SSL /TLS todistus Java.

Luo näppäimistö ja avainpari
  1. Ensinnäkin luomme avaimen ja julkisen / yksityisen avaimen parin. Java käyttää tiedostoja, joiden laajennus on .jks (Java KeyStore) sertifikaattien ja salausavaimien tallentamiseksi. Kirjoita seuraava komento avainsäilön ja 3072-bittisen RSA-avainparin luomiseksi. (Korvata MY-KEYSTORE.jks nimellä, jonka haluat tiedostolla olevan.) 
    näppäimistö - avainparit -alias koodimerkinnät -keyalg RSA -näppäimen koko 3072 -näppäimistö MY-KEYSTORE.jks
  2. Sinulle esitetään sarja kehotteita. Luo ensin ja tarkista avainsäilön salasana ja kirjoita ja tarkista pyydetyt tiedot. (Korvaa isojen kirjaimien arvot omilla tiedoilla.) 
    Anna avainsäilön salasana: Syötä uusi salasana uudelleen: Mikä on etu- ja sukunimesi? [Tuntematon]: FIRSTNAME LASTNAME Mikä on organisaatiosi nimi? [Tuntematon]: YRITYS Mikä on kaupunkisi tai paikkakuntasi nimi? [Tuntematon]: KAUPUNKI Mikä on osavaltiosi tai maakuntasi nimi? [Tuntematon]: TILA Mikä on tämän laitteen kaksikirjaiminen maakoodi? [Tuntematon]: USA Onko CN=ETUNIMI SUKUNIMI, OU=DEPARTMENT, O=YRITYS, L=CITY, ST=STATE, C=US oikein? [ei kyllä
  3. Avaintallennustiedosto on luotu ja olet valmis luomaan CSR.
Tuottaa CSR
  1. Kirjoita seuraava komento luodaksesi CSR äskettäin luomastamme avainkaupasta. (Korvata MY-KEYSTORE.jks arvoilla, joita käytit avainsäilön luomiseen ja MY-CSR.csr nimellä, jota haluat käyttää CSR.) 
    keytool -certreq -alias koodimerkinnät -file MY-CSR.csr -avaimen myymälä MY-KEYSTORE.jks
  2. Kirjoita salasana, jonka loit luomalla näppäimistö. 
    Anna avaimen salasanan:
  3. - CSR on luotu. Jos olet valmis tilaamaan sertifikaatin SSL.com: lta, avaa tiedosto tekstieditorissa kopioidaksesi ja liittämällä tiedostoon CSR kenttä tilauksen yhteydessä. Tiedoston sisältö näyttää seuraavanlaiselta esimerkiltä: 
    -----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----
Tilaa ja hae varmenne
  1. Seuraa vaiheita, jotka on esitetty kohdassa Koodin allekirjoitussertifikaattien tilaaminen ja noutaminen sen sijaan, että napsauttaisit heti Luo sertifikaatti -painike, valitse valintaruutu minulla on omani CSR.
    minulla on omani CSR
  2. Liitä CSR lomakekenttään ja napsauta Luo sertifikaatti painiketta.
    pasta CSR ja luoda varmenne
  3. Valitse Lataa -painiketta ja tallenna .crt tiedosto samassa paikassa, jossa olet luonut avainsäilön.
    Lataa
Tuo varmenne avaintoimintoon
  1. Tuo seuraava sertifikaatti varmenne Java-avaintiedostoon. (Korvaa MY-CERTIFICATE.crt ja MY-KEYSTORE.jks todellisilla tiedostonimillä.) 
    keytool -importcert-tiedosto MY-CERTIFICATE.crt -näppäimistö MY-KEYSTORE.jks -trustcacerts -alias codeigning
  2. Kirjoita näppäimistön salasana pyydettäessä. 
    Anna avaimen salasanan:
  3. Varmenne on asennettu näppäimistöön ja olet valmis aloittamaan tiedostojen allekirjoittamisen. 
    Varmennevastaus asennettiin avainsäilöön

Allekirjoita tiedostoja Jarsigner-ohjelmalla

  1. Lisää seuraavan komennon avulla aikaleimattu digitaalinen allekirjoitus .jar tiedosto. (Korvata /PATH/TO/MY-KEYSTORE.jks ja MY-JAR.jar käyttämäsi tiedostonimien kanssa. Jos olet käyttänyt toista aliasta avainsäilöä määritettäessä, korvaa se codesigning komennossa.) 
    jarsigner -tsa http://ts.ssl.com -näppäimistö MY-KEYSTORE.jks MY-JAR.jar codeigning
    Huomaa: On myös mahdollista allekirjoittaa .jar tiedostot suoraan muuntamattomalla PFX-tiedostolla lisäämällä -storetype pkcs12 lippu jarsigner komento.

    Huomautus: Oletusarvoisesti SSL.com tukee ECDSA-avaimien aikaleimoja.

    Jos kohtaat tämän virheen: The timestamp certificate does not meet a minimum public key length requirement, ota yhteyttä ohjelmiston myyjään salliaksesi aikaleimat ECDSA-avaimista.

    Jos ohjelmistotoimittajasi ei voi sallia normaalin päätepisteen käyttöä, voit käyttää tätä vanhaa päätepistettä http://ts.ssl.com/legacy saadaksesi aikaleiman RSA-aikaleimayksiköstä.
  2. Kirjoita näppäimistösalasana kehotteeseen. 
    Kirjoita avainsanan salasana:
  3. Tiedosto on nyt allekirjoitettu. Voit tarkistaa allekirjoituksen seuraavalla komennolla: 
    jarsigner -vahvista -verbose MY-JAR.jar
  4. Jos tiedostosi allekirjoitettiin onnistuneesti, komennon tulosteen tulisi sisältää tämä rivi: 
    s = allekirjoitus on vahvistettu

 

Siirry alkuun

IV-, OV- ja EV-koodin allekirjoitus YubiKeyllä

SSL.com n EV-koodin allekirjoittaminen sertifikaatit tarjoavat Windows 10-ytimen tilan koodin allekirjoittamisen ja SmartScreen-maineen välittömän parantamisen, kaikki jopa $ 240.00 vuodessa. Ne toimitetaan turvallisesti YubiKey FIPS USB-tunnukset, joissa on kaksikerroinen todennus.

TILAA NYT

Konfigurointi

Asenna PKCS # 11 -ohjain ja luo eToken.cfg-tiedosto

Windows
  1. Asenna OpenSC noudattamalla OpenSC: n ohjeita Windowsin pikakäynnistys.
  2. Etsi OpenSC PKCS # 11 -ohjain. Oletusasennuspaikka on C:\Program Files\OpenSC Project\OpenSC\pkcs11\opensc-pkcs11.dll.
  3. Luo asetustiedosto ja tallenna se sopivaan sijaintiin (kuten kotihakemistoon). Tiedostonimi on mielivaltainen, mutta tässä oppaassa käytämme sitä yubikey-pkcs11-java.cfg. Tiedoston tulisi sisältää seuraavat tiedot: 
    nimi = OpenSC-PKCS11 kuvaus = SunPKCS11 OpenSC-kirjaston kautta = C: \ Ohjelmatiedostot \ OpenSC-projekti \ OpenSC \ pkcs11 \ opensc-pkcs11.dll slotListIndex = 0
macOS
  1. install OpenSC. Jos käytät Homebrew paketinhallinnana voit asentaa OpenSC: n seuraavalla komennolla: 
    hauduta asennus opensc
  2. Etsi OpenSC PKCS # 11 -ohjain. Jos olet asentanut Homebrew-tiedoston avulla, tiedoston pitäisi olla saatavilla osoitteessa /usr/local/lib/opensc-pkcs11.so.
  3. Luo asetustiedosto ja tallenna se sopivaan sijaintiin (kuten kotihakemistoon). Tiedostonimi on mielivaltainen, mutta tässä oppaassa käytämme sitä yubikey-pkcs11-java.cfg. Tiedoston tulisi sisältää seuraavat tiedot: 
    nimi = OpenSC-PKCS11 kuvaus = SunPKCS11 OpenSC-kirjaston kautta = /usr/local/lib/opensc-pkcs11.so slotListIndex = 0

Allekirjoita tiedostoja Jarsigner-ohjelmalla

  1. Lisää seuraavan komennon avulla aikaleimattu digitaalinen allekirjoitus .jar tiedosto. (Korvata MY-JAR.jar käyttämäsi tiedostonimen kanssa.) 
    jarsigner -tsa http://ts.ssl.com -providerClass sun.security.pkcs11.SunPKCS11 -providerArg yubikey-pkcs11-java.cfg -keystore NONE -storetype PKCS11 MY-JAR.jar "PIV-todennuksen sertifikaatti"
  2. Kirjoita YubiKey-PIN-koodisi salasanakehotteeseen. 
    Kirjoita avainsanan salasana:
  3. Tiedosto on nyt allekirjoitettu. Voit tarkistaa allekirjoituksen seuraavalla komennolla: 
    jarsigner -vahvista -verbose MY-JAR.jar
  4. Jos tiedostosi allekirjoitettiin onnistuneesti, komennon tulosteen tulisi sisältää tämä rivi: 
    s = allekirjoitus on vahvistettu
Kiitos, että valitsit SSL.com! Jos sinulla on kysyttävää, ota meihin yhteyttä sähköpostitse osoitteeseen Support@SSL.com, puhelu 1-877-SSL-SECURE, tai napsauta vain sivun oikeassa alakulmassa olevaa chat-linkkiä. Voit myös löytää vastauksia moniin yleisiin tukikysymyksiin sivustollemme tietopohja.

 

Twitter
Facebook
LinkedIn
Reddit
Sähköposti

SSL.com -tukitiimi

Kirjoittaja - sisällönvalvoja
Kaikki viestit »

Pysy ajan tasalla ja turvassa

SSL.com on maailman johtava kyberturvallisuuden johtaja, PKI ja digitaaliset sertifikaatit. Rekisteröidy saadaksesi viimeisimmät alan uutiset, vinkit ja tuoteilmoitukset SSL.com.

Otamme mielellämme palautetta vastaan

Vastaa kyselyymme ja kerro meille mielipiteesi viimeaikaisesta ostoksestasi.

Ota kysely