Tämä opas auttaa sinua aloittamaan Java-koodisi allekirjoittamisen joko OV / IV or EV koodin allekirjoitusvarmenne SSL.com: lta. Näissä ohjeissa oletetaan, että Java Development Kit (JDK) on asennettu tietokoneellesi ja että keytool
ja jarsigner
komennot sisältyvät polkuun. Yubikey-koodin allekirjoitusohjeet olettavat, että varmenne on asennettu paikkaan 9a kohdasta a YubiKey FIPS rahakkeen, koska SSL.com lähettää ne.
Jos sinulla ei vielä ole koodin allekirjoitustodistusta etkä ole varma, mitä tyyppiä tarvitset, lue tämä FAQ.
OV/IV-koodin allekirjoitus (vain OV/IV-varmenteille, jotka on myönnetty ennen 1)
Konfigurointi
Menetelmä 1: Luo CSR ja PFX-tiedosto selaimessa
Yksinkertaisin tapa aloittaa nopeasti Java-koodin allekirjoittaminen on luoda CSR ja PFX-tiedosto, kun haet varmentettasi SSL-sivustolta ja asennat sen uuteen Java-avainkontitilaan.
.jar
tiedostot suoraan muuntamattomalla PFX-tiedostolla lisäämällä -storetype pkcs12
lippu jarsigner
komento.- Seuraa vaiheita, jotka on esitetty kohdassa Koodin allekirjoitussertifikaattien tilaaminen ja noutaminen Voit tilata varmenteen ja ladata PFX-tiedoston varmenteellasi ja yksityisellä avaimella.
- Tuo PFX uuteen näppäimistöön samalla salasanalla käyttämällä alla olevaa komentoa. (Korvata
MY-CERTIFICATE.p12
jaMY-KEYSTORE.jks
PFX-tiedostosi todellisella nimellä ja tiedostonimellä, jonka haluat antaa avainsäilöön. Huomaa myös, ettädestalias
on mielivaltainen ja voit halutessasi käyttää toista aliaksen arvoa.)näppäimistö -import näppäimistö -srckeystore MY-PFX.p12 -srcstoretype pkcs12 -srcalias 1 -destkeyystore MY-KEYSTORE.jks -deststoretype JKS -destalias codeigning
Huomautus: -Arvon arvo-srcalias
SSL: ltä ladatun PFX-tiedoston pitäisi yleensä olla1
, mutta voit vahvistaa tämän suorittamalla komennonkeytool -list -v -storetype pkcs12 -keystore MY-PFX.P12
ja tarkistetaanAlias name
. - Sinulta kysytään salasana kohdeavainsäilöön ja sitten lähdeavainsanan salasana (salasana, jonka syötit PFX: ää luotaessa). Saatat nähdä myös varoitusviestin, joka alkaa
Warning: The JKS keystore uses a proprietary format
. Voit ohittaa tämän viestin turvallisesti.
Tapa 2: Luo avainpari ja CSR Javan kanssa
Jos haluat luoda avainparisi ja CSR noudata Javaa, tämän osan ohjeita. Prosessi on sama, jota käytetään luomaan CSR for SSL /TLS todistus Java.
Luo näppäimistö ja avainpari
- Ensinnäkin luomme avaimen ja julkisen / yksityisen avaimen parin. Java käyttää tiedostoja, joiden laajennus on
.jks
(Java KeyStore) sertifikaattien ja salausavaimien tallentamiseksi. Kirjoita seuraava komento avainsäilön ja 3072-bittisen RSA-avainparin luomiseksi. (KorvataMY-KEYSTORE.jks
nimellä, jonka haluat tiedostolla olevan.)näppäimistö - avainparit -alias koodimerkinnät -keyalg RSA -näppäimen koko 3072 -näppäimistö MY-KEYSTORE.jks
- Sinulle esitetään sarja kehotteita. Luo ensin ja tarkista avainsäilön salasana ja kirjoita ja tarkista pyydetyt tiedot. (Korvaa isojen kirjaimien arvot omilla tiedoilla.)
Anna avainsäilön salasana: Syötä uusi salasana uudelleen: Mikä on etu- ja sukunimesi? [Tuntematon]: FIRSTNAME LASTNAME Mikä on organisaatiosi nimi? [Tuntematon]: YRITYS Mikä on kaupunkisi tai paikkakuntasi nimi? [Tuntematon]: KAUPUNKI Mikä on osavaltiosi tai maakuntasi nimi? [Tuntematon]: TILA Mikä on tämän laitteen kaksikirjaiminen maakoodi? [Tuntematon]: USA Onko CN=ETUNIMI SUKUNIMI, OU=DEPARTMENT, O=YRITYS, L=CITY, ST=STATE, C=US oikein? [ei kyllä
- Avaintallennustiedosto on luotu ja olet valmis luomaan CSR.
Tuottaa CSR
- Kirjoita seuraava komento luodaksesi CSR äskettäin luomastamme avainkaupasta. (Korvata
MY-KEYSTORE.jks
arvoilla, joita käytit avainsäilön luomiseen jaMY-CSR.csr
nimellä, jota haluat käyttää CSR.)keytool -certreq -alias koodimerkinnät -file MY-CSR.csr -avaimen myymälä MY-KEYSTORE.jks
- Kirjoita salasana, jonka loit luomalla näppäimistö.
Anna avaimen salasanan:
- - CSR on luotu. Jos olet valmis tilaamaan sertifikaatin SSL.com: lta, avaa tiedosto tekstieditorissa kopioidaksesi ja liittämällä tiedostoon CSR kenttä tilauksen yhteydessä. Tiedoston sisältö näyttää seuraavanlaiselta esimerkiltä:
-----BEGIN NEW CERTIFICATE REQUEST----- MIIC5TCCAc0CAQAwcDELMAkGA1UEBhMCVVMxDjAMBgNVBAgTBVNUQVRFMQ0wCwYD VQQHEwRDSVRZMRAwDgYDVQQKEwdDT01QQU5ZMRMwEQYDVQQLEwpERVBBUlRNRU5U MRswGQYDVQQDExJGSVJTVE5BTUUgTEFTVE5BTUUwggEiMA0GCSqGSIb3DQEBAQUA A4IBDwAwggEKAoIBAQCrRyk8VLs1THls+vfz0YtMJ3qYYl4c5c499d1YSbfQHa6L kIYhKTxvgdtbD+ePDigKB40CpeuMp5Yu8R6g2YIVBpGMrejAZYAmrzs6tfjpelh0 ocSDwYr7H8qQ9jq6MfZTu6J7EjS5RMODB6MVq1usKg3H866xbi6lqAtcktEF+zlM 4FW9Tm3H/DW2G7EnTjlMPzgaXNIU7lLar7YAWPJgv83NV8lQNCDW4lFlZLWBU95r YkJ4gfWUFUyPc+AiGbsyDdrVjPvF5yaebnFDrwheFaWeTTigSfLY688G7bpA8VvE lKioCl8nlJlc9HOBNKKdhs4qEtF0BwSE8tOgbkWPAgMBAAGgMDAuBgkqhkiG9w0B CQ4xITAfMB0GA1UdDgQWBBTmVpJp824krUaJKrQNhsSbVjJA1jANBgkqhkiG9w0B AQsFAAOCAQEALlux89RkXyHN4PQqQHbShSeTTWLURII+F+OSK9N1RS5l8V7AMcRM wvOkPP7JBRCKiaFGTW+5vcLQNnWRqQZMe0I4E0jzhL2gGsdChPIJy9Jwgn3Rzxmw 8V0lBY1SHQ9LKgSK0jIer3PQhXHDJlE2g2Dx8nJ4WJk7l2OTF9Kkly9hg8MOQdeg VIcs3HLsVI9Cwd6UHRT6ruKL3+bRgEcb6qj+qcrKHkzN7KXbOEznd10nAm87wENS mTb012ZFMlpUDvPNAHQgoGJ6slA+pIoH1fvrkosjql7R/H7Q+onm37Qa6d9L2ZqM MhgNpNWVwI0UBU4Xy4p9oUCJnvHhQ7U+3w== -----END NEW CERTIFICATE REQUEST-----
Tilaa ja hae varmenne
- Seuraa vaiheita, jotka on esitetty kohdassa Koodin allekirjoitussertifikaattien tilaaminen ja noutaminen sen sijaan, että napsauttaisit heti Luo sertifikaatti -painike, valitse valintaruutu minulla on omani CSR.
- Liitä CSR lomakekenttään ja napsauta Luo sertifikaatti painiketta.
- Valitse Lataa -painiketta ja tallenna
.crt
tiedosto samassa paikassa, jossa olet luonut avainsäilön.
Tuo varmenne avaintoimintoon
- Tuo seuraava sertifikaatti varmenne Java-avaintiedostoon. (Korvaa MY-CERTIFICATE.crt ja MY-KEYSTORE.jks todellisilla tiedostonimillä.)
keytool -importcert-tiedosto MY-CERTIFICATE.crt -näppäimistö MY-KEYSTORE.jks -trustcacerts -alias codeigning
- Kirjoita näppäimistön salasana pyydettäessä.
Anna avaimen salasanan:
- Varmenne on asennettu näppäimistöön ja olet valmis aloittamaan tiedostojen allekirjoittamisen.
Varmennevastaus asennettiin avainsäilöön
Allekirjoita tiedostoja Jarsigner-ohjelmalla
- Lisää seuraavan komennon avulla aikaleimattu digitaalinen allekirjoitus
.jar
tiedosto. (Korvata/PATH/TO/MY-KEYSTORE.jks
jaMY-JAR.jar
käyttämäsi tiedostonimien kanssa. Jos olet käyttänyt toista aliasta avainsäilöä määritettäessä, korvaa secodesigning
komennossa.)jarsigner -tsa http://ts.ssl.com -näppäimistö MY-KEYSTORE.jks MY-JAR.jar codeigning
Huomaa: On myös mahdollista allekirjoittaa.jar
tiedostot suoraan muuntamattomalla PFX-tiedostolla lisäämällä-storetype pkcs12
lippujarsigner
komento.
Huomautus: Oletusarvoisesti SSL.com tukee ECDSA-avaimien aikaleimoja.
Jos kohtaat tämän virheen:The timestamp certificate does not meet a minimum public key length requirement
, ota yhteyttä ohjelmiston myyjään salliaksesi aikaleimat ECDSA-avaimista.
Jos ohjelmistotoimittajasi ei voi sallia normaalin päätepisteen käyttöä, voit käyttää tätä vanhaa päätepistettähttp://ts.ssl.com/legacy
saadaksesi aikaleiman RSA-aikaleimayksiköstä. - Kirjoita näppäimistösalasana kehotteeseen.
Kirjoita avainsanan salasana:
- Tiedosto on nyt allekirjoitettu. Voit tarkistaa allekirjoituksen seuraavalla komennolla:
jarsigner -vahvista -verbose MY-JAR.jar
- Jos tiedostosi allekirjoitettiin onnistuneesti, komennon tulosteen tulisi sisältää tämä rivi:
s = allekirjoitus on vahvistettu
IV-, OV- ja EV-koodin allekirjoitus YubiKeyllä
Konfigurointi
Asenna PKCS # 11 -ohjain ja luo eToken.cfg-tiedosto
Windows
- Asenna OpenSC noudattamalla OpenSC: n ohjeita Windowsin pikakäynnistys.
- Etsi OpenSC PKCS # 11 -ohjain. Oletusasennuspaikka on
C:\Program Files\OpenSC Project\OpenSC\pkcs11\opensc-pkcs11.dll
. - Luo asetustiedosto ja tallenna se sopivaan sijaintiin (kuten kotihakemistoon). Tiedostonimi on mielivaltainen, mutta tässä oppaassa käytämme sitä
yubikey-pkcs11-java.cfg
. Tiedoston tulisi sisältää seuraavat tiedot:nimi = OpenSC-PKCS11 kuvaus = SunPKCS11 OpenSC-kirjaston kautta = C: \ Ohjelmatiedostot \ OpenSC-projekti \ OpenSC \ pkcs11 \ opensc-pkcs11.dll slotListIndex = 0
macOS
- install OpenSC. Jos käytät Homebrew paketinhallinnana voit asentaa OpenSC: n seuraavalla komennolla:
hauduta asennus opensc
- Etsi OpenSC PKCS # 11 -ohjain. Jos olet asentanut Homebrew-tiedoston avulla, tiedoston pitäisi olla saatavilla osoitteessa
/usr/local/lib/opensc-pkcs11.so
. - Luo asetustiedosto ja tallenna se sopivaan sijaintiin (kuten kotihakemistoon). Tiedostonimi on mielivaltainen, mutta tässä oppaassa käytämme sitä
yubikey-pkcs11-java.cfg
. Tiedoston tulisi sisältää seuraavat tiedot:nimi = OpenSC-PKCS11 kuvaus = SunPKCS11 OpenSC-kirjaston kautta = /usr/local/lib/opensc-pkcs11.so slotListIndex = 0
Allekirjoita tiedostoja Jarsigner-ohjelmalla
- Lisää seuraavan komennon avulla aikaleimattu digitaalinen allekirjoitus
.jar
tiedosto. (KorvataMY-JAR.jar
käyttämäsi tiedostonimen kanssa.)jarsigner -tsa http://ts.ssl.com -providerClass sun.security.pkcs11.SunPKCS11 -providerArg yubikey-pkcs11-java.cfg -keystore NONE -storetype PKCS11 MY-JAR.jar "PIV-todennuksen sertifikaatti"
- Kirjoita YubiKey-PIN-koodisi salasanakehotteeseen.
Kirjoita avainsanan salasana:
- Tiedosto on nyt allekirjoitettu. Voit tarkistaa allekirjoituksen seuraavalla komennolla:
jarsigner -vahvista -verbose MY-JAR.jar
- Jos tiedostosi allekirjoitettiin onnistuneesti, komennon tulosteen tulisi sisältää tämä rivi:
s = allekirjoitus on vahvistettu