SSL.com

Java-koodin allekirjoittamisopas

SSL.com -tukitiimi

Tämä opas auttaa sinua aloittamaan Java-koodisi allekirjoittamisen joko OV / IV or EV koodin allekirjoitusvarmenne SSL.com: lta. Näissä ohjeissa oletetaan, että Java Development Kit (JDK) on asennettu tietokoneellesi ja että keytool ja jarsigner komennot sisältyvät polkuun. Yubikey-koodin allekirjoitusohjeet olettavat, että varmenne on asennettu paikkaan 9a kohdasta a YubiKey FIPS rahakkeen, koska SSL.com lähettää ne.

1. kesäkuuta 2023 alkaen, SSL.comin Organisaation validointi (OV) ja Individual Validation (IV) koodin allekirjoitussertifikaatit on myönnetty joko Federal Information Processing Standard 140-2 (FIPS 140-2) USB-tunnuksilla tai eSigner-pilvikoodiallekirjoituspalvelumme kautta. Tämä muutos on vaatimusten mukainen varmentaja/selain (CA/B) -foorumin uusien avainten tallennusvaatimusten kanssa koodin allekirjoitusavainten turvallisuuden lisäämiseksi.

Jos sinulla ei vielä ole koodin allekirjoitustodistusta etkä ole varma, mitä tyyppiä tarvitset, lue tämä FAQ.

SSL.com n OV / IV -koodien allekirjoittaminen sertifikaatit ovat taloudellinen tapa suojata koodiasi luvattomalta manipuloinnilta ja kompromisseilta, ja niitä on saatavana vain vähän $ 64.50 vuodessa.

TILAA NYT

OV/IV-koodin allekirjoitus (vain OV/IV-varmenteille, jotka on myönnetty ennen 1)

Konfigurointi

Menetelmä 1: Luo CSR ja PFX-tiedosto selaimessa

Yksinkertaisin tapa aloittaa nopeasti Java-koodin allekirjoittaminen on luoda CSR ja PFX-tiedosto, kun haet varmentettasi SSL-sivustolta ja asennat sen uuteen Java-avainkontitilaan.

Huomautus: On myös mahdollista allekirjoittaa .jar tiedostot suoraan muuntamattomalla PFX-tiedostolla lisäämällä -storetype pkcs12 lippu jarsigner komento.
  1. Seuraa vaiheita, jotka on esitetty kohdassa Koodin allekirjoitussertifikaattien tilaaminen ja noutaminen Voit tilata varmenteen ja ladata PFX-tiedoston varmenteellasi ja yksityisellä avaimella.
  2. Tuo PFX uuteen näppäimistöön samalla salasanalla käyttämällä alla olevaa komentoa. (Korvata MY-CERTIFICATE.p12 ja MY-KEYSTORE.jks PFX-tiedostosi todellisella nimellä ja tiedostonimellä, jonka haluat antaa avainsäilöön. Huomaa myös, että destalias on mielivaltainen ja voit halutessasi käyttää toista aliaksen arvoa.) 
    näppäimistö -import näppäimistö -srckeystore MY-PFX.p12 -srcstoretype pkcs12 -srcalias 1 -destkeyystore MY-KEYSTORE.jks -deststoretype JKS -destalias codeigning
    Huomautus: -Arvon arvo -srcalias SSL: ltä ladatun PFX-tiedoston pitäisi yleensä olla 1, mutta voit vahvistaa tämän suorittamalla komennon keytool -list -v -storetype pkcs12 -keystore MY-PFX.P12 ja tarkistetaan Alias name.
  3. Sinulta kysytään salasana kohdeavainsäilöön ja sitten lähdeavainsanan salasana (salasana, jonka syötit PFX: ää luotaessa). Saatat nähdä myös varoitusviestin, joka alkaa Warning: The JKS keystore uses a proprietary format. Voit ohittaa tämän viestin turvallisesti.

Tapa 2: Luo avainpari ja CSR Javan kanssa

Jos haluat luoda avainparisi ja CSR noudata Javaa, tämän osan ohjeita. Prosessi on sama, jota käytetään luomaan CSR for SSL /TLS todistus Java.

Luo näppäimistö ja avainpari
  1. Ensinnäkin luomme avaimen ja julkisen / yksityisen avaimen parin. Java käyttää tiedostoja, joiden laajennus on .jks (Java KeyStore) sertifikaattien ja salausavaimien tallentamiseksi. Kirjoita seuraava komento avainsäilön ja 3072-bittisen RSA-avainparin luomiseksi. (Korvata MY-KEYSTORE.jks nimellä, jonka haluat tiedostolla olevan.) 
    näppäimistö - avainparit -alias koodimerkinnät -keyalg RSA -näppäimen koko 3072 -näppäimistö MY-KEYSTORE.jks
  2. Sinulle esitetään sarja kehotteita. Luo ensin ja tarkista avainsäilön salasana ja kirjoita ja tarkista pyydetyt tiedot. (Korvaa isojen kirjaimien arvot omilla tiedoilla.) 
    Anna avainsäilön salasana: Syötä uusi salasana uudelleen: Mikä on etu- ja sukunimesi? [Tuntematon]: FIRSTNAME LASTNAME Mikä on organisaatiosi nimi? [Tuntematon]: YRITYS Mikä on kaupunkisi tai paikkakuntasi nimi? [Tuntematon]: KAUPUNKI Mikä on osavaltiosi tai maakuntasi nimi? [Tuntematon]: TILA Mikä on tämän laitteen kaksikirjaiminen maakoodi? [Tuntematon]: USA Onko CN=ETUNIMI SUKUNIMI, OU=DEPARTMENT, O=YRITYS, L=CITY, ST=STATE, C=US oikein? [ei kyllä
  3. Avaintallennustiedosto on luotu ja olet valmis luomaan CSR.
Tuottaa CSR
  1. Kirjoita seuraava komento luodaksesi CSR äskettäin luomastamme avainkaupasta. (Korvata MY-KEYSTORE.jks arvoilla, joita käytit avainsäilön luomiseen ja MY-CSR.csr nimellä, jota haluat käyttää CSR.) 
    keytool -certreq -alias koodimerkinnät -file MY-CSR.csr -avaimen myymälä MY-KEYSTORE.jks
  2. Kirjoita salasana, jonka loit luomalla näppäimistö. 
    Anna avaimen salasanan:
  3. - CSR on luotu. Jos olet valmis tilaamaan sertifikaatin SSL.com: lta, avaa tiedosto tekstieditorissa kopioidaksesi ja liittämällä tiedostoon CSR kenttä tilauksen yhteydessä. Tiedoston sisältö näyttää seuraavanlaiselta esimerkiltä: 
    -----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----
Tilaa ja hae varmenne
  1. Seuraa vaiheita, jotka on esitetty kohdassa Koodin allekirjoitussertifikaattien tilaaminen ja noutaminen sen sijaan, että napsauttaisit heti Luo sertifikaatti -painike, valitse valintaruutu minulla on omani CSR.
    minulla on omani CSR
  2. Liitä CSR lomakekenttään ja napsauta Luo sertifikaatti painiketta.
  3. Valitse Lataa -painiketta ja tallenna .crt tiedosto samassa paikassa, jossa olet luonut avainsäilön.
Tuo varmenne avaintoimintoon
  1. Tuo seuraava sertifikaatti varmenne Java-avaintiedostoon. (Korvaa MY-CERTIFICATE.crt ja MY-KEYSTORE.jks todellisilla tiedostonimillä.) 
    keytool -importcert-tiedosto MY-CERTIFICATE.crt -näppäimistö MY-KEYSTORE.jks -trustcacerts -alias codeigning
  2. Kirjoita näppäimistön salasana pyydettäessä. 
    Anna avaimen salasanan:
  3. Varmenne on asennettu näppäimistöön ja olet valmis aloittamaan tiedostojen allekirjoittamisen. 
    Varmennevastaus asennettiin avainsäilöön

Allekirjoita tiedostoja Jarsigner-ohjelmalla

  1. Lisää seuraavan komennon avulla aikaleimattu digitaalinen allekirjoitus .jar tiedosto. (Korvata /PATH/TO/MY-KEYSTORE.jks ja MY-JAR.jar käyttämäsi tiedostonimien kanssa. Jos olet käyttänyt toista aliasta avainsäilöä määritettäessä, korvaa se codesigning komennossa.) 
    jarsigner -tsa http://ts.ssl.com -näppäimistö MY-KEYSTORE.jks MY-JAR.jar codeigning
    Huomaa: On myös mahdollista allekirjoittaa .jar tiedostot suoraan muuntamattomalla PFX-tiedostolla lisäämällä -storetype pkcs12 lippu jarsigner komento.

    Huomautus: Oletusarvoisesti SSL.com tukee ECDSA-avaimien aikaleimoja.

    Jos kohtaat tämän virheen: The timestamp certificate does not meet a minimum public key length requirement, ota yhteyttä ohjelmiston myyjään salliaksesi aikaleimat ECDSA-avaimista.

    Jos ohjelmistotoimittajasi ei voi sallia normaalin päätepisteen käyttöä, voit käyttää tätä vanhaa päätepistettä http://ts.ssl.com/legacy saadaksesi aikaleiman RSA-aikaleimayksiköstä.
  2. Kirjoita näppäimistösalasana kehotteeseen. 
    Kirjoita avainsanan salasana:
  3. Tiedosto on nyt allekirjoitettu. Voit tarkistaa allekirjoituksen seuraavalla komennolla: 
    jarsigner -vahvista -verbose MY-JAR.jar
  4. Jos tiedostosi allekirjoitettiin onnistuneesti, komennon tulosteen tulisi sisältää tämä rivi: 
    s = allekirjoitus on vahvistettu

 

Siirry alkuun

IV-, OV- ja EV-koodin allekirjoitus YubiKeyllä

SSL.com n EV-koodin allekirjoittaminen sertifikaatit tarjoavat Windows 10-ytimen tilan koodin allekirjoittamisen ja SmartScreen-maineen välittömän parantamisen, kaikki jopa $ 240.00 vuodessa. Ne toimitetaan turvallisesti YubiKey FIPS USB-tunnukset, joissa on kaksikerroinen todennus.

TILAA NYT

Konfigurointi

Asenna PKCS # 11 -ohjain ja luo eToken.cfg-tiedosto

Windows
  1. Asenna OpenSC noudattamalla OpenSC: n ohjeita Windowsin pikakäynnistys.
  2. Etsi OpenSC PKCS # 11 -ohjain. Oletusasennuspaikka on C:\Program Files\OpenSC Project\OpenSC\pkcs11\opensc-pkcs11.dll.
  3. Luo asetustiedosto ja tallenna se sopivaan sijaintiin (kuten kotihakemistoon). Tiedostonimi on mielivaltainen, mutta tässä oppaassa käytämme sitä yubikey-pkcs11-java.cfg. Tiedoston tulisi sisältää seuraavat tiedot: 
    nimi = OpenSC-PKCS11 kuvaus = SunPKCS11 OpenSC-kirjaston kautta = C: \ Ohjelmatiedostot \ OpenSC-projekti \ OpenSC \ pkcs11 \ opensc-pkcs11.dll slotListIndex = 0
macOS
  1. install OpenSC. Jos käytät Homebrew paketinhallinnana voit asentaa OpenSC: n seuraavalla komennolla: 
    hauduta asennus opensc
  2. Etsi OpenSC PKCS # 11 -ohjain. Jos olet asentanut Homebrew-tiedoston avulla, tiedoston pitäisi olla saatavilla osoitteessa /usr/local/lib/opensc-pkcs11.so.
  3. Luo asetustiedosto ja tallenna se sopivaan sijaintiin (kuten kotihakemistoon). Tiedostonimi on mielivaltainen, mutta tässä oppaassa käytämme sitä yubikey-pkcs11-java.cfg. Tiedoston tulisi sisältää seuraavat tiedot: 
    nimi = OpenSC-PKCS11 kuvaus = SunPKCS11 OpenSC-kirjaston kautta = /usr/local/lib/opensc-pkcs11.so slotListIndex = 0

Allekirjoita tiedostoja Jarsigner-ohjelmalla

  1. Lisää seuraavan komennon avulla aikaleimattu digitaalinen allekirjoitus .jar tiedosto. (Korvata MY-JAR.jar käyttämäsi tiedostonimen kanssa.) 
    jarsigner -tsa http://ts.ssl.com -providerClass sun.security.pkcs11.SunPKCS11 -providerArg yubikey-pkcs11-java.cfg -keystore NONE -storetype PKCS11 MY-JAR.jar "PIV-todennuksen sertifikaatti"
  2. Kirjoita YubiKey-PIN-koodisi salasanakehotteeseen. 
    Kirjoita avainsanan salasana:
  3. Tiedosto on nyt allekirjoitettu. Voit tarkistaa allekirjoituksen seuraavalla komennolla: 
    jarsigner -vahvista -verbose MY-JAR.jar
  4. Jos tiedostosi allekirjoitettiin onnistuneesti, komennon tulosteen tulisi sisältää tämä rivi: 
    s = allekirjoitus on vahvistettu
Kiitos, että valitsit SSL.com! Jos sinulla on kysyttävää, ota meihin yhteyttä sähköpostitse osoitteeseen Support@SSL.com, puhelu 1-877-SSL-SECURE, tai napsauta vain sivun oikeassa alakulmassa olevaa chat-linkkiä. Voit myös löytää vastauksia moniin yleisiin tukikysymyksiin sivustollemme tietopohja.

 

Poistu mobiiliversiosta