Ez az útmutató segítséget nyújt Önnek a Java-kód aláírásához, akár egy, akár egy gombbal OV / IV or EV kód aláíró tanúsítvány az SSL.com-tól. Ezek az utasítások feltételezik, hogy a Java Development Kit (JDK) telepítve van a számítógépére, és hogy a keytool
és a jarsigner
parancsok szerepelnek a PATH-ban. A Yubikey kódaláírási utasítások azt feltételezik, hogy a tanúsítvány az a 9a nyílásba van telepítve YubiKey FIPS token, mivel az SSL.com szállítja őket.
Ha még nem rendelkezik kód aláíró tanúsítvánnyal, és nem biztos abban, hogy melyik típusra van szüksége, kérjük, olvassa el ez a GYIK.
OV/IV kódaláírás (csak a 1. június 2023. előtt kiállított OV/IV tanúsítványokhoz)
Configuration
1. módszer: Generálás CSR és PFX fájl a böngészőben
A Java kód aláírásával történő gyors elindítás legegyszerűbb módja a CSR és PFX fájlokat, amikor a tanúsítványt megszerzi az SSL.com-ról, és telepíti egy új Java kulcstárba.
.jar
fájlokat közvetlenül egy nem konvertált PFX fájllal a -storetype pkcs12
zászló a jarsigner
parancs.- Kövesse a következő lépéseket: Kód aláíró tanúsítványok megrendelése és visszakeresése tanúsítvány megrendelése és egy PFX fájl letöltése a tanúsítvánnyal és a magánkulccsal.
- Importálja a PFX-t egy új kulcstárba azonos jelszóval az alábbi parancs segítségével. (Cserélje ki
MY-CERTIFICATE.p12
és aMY-KEYSTORE.jks
a PFX fájl valódi nevével és a kulcstárolónak megadni kívánt fájlnévvel. Vegye figyelembe azt is, hogy adestalias
tetszőleges, és szükség esetén használhat más álnevet is.)kulcstartó -importkeystore -srckeystore MY-PFX.p12 -srcstoretype pkcs12 -srcalias 1 -destkeystore MY-KEYSTORE.jks -deststoretype JKS -destalias codeigning
Jegyzet: A (z) értéke-srcalias
az SSL.com-ról letöltött PFX fájlnak általában1
, de ezt megerősítheti a parancs futtatásávalkeytool -list -v -storetype pkcs12 -keystore MY-PFX.P12
és ellenőrzi a jelzett értéketAlias name
. - Kérni fogja a jelszót a cél kulcstárolóhoz, majd a forrás kulcstár jelszavát (a PFX létrehozásakor megadott jelszót). Lehet, hogy egy figyelmeztető üzenet is kezdődik
Warning: The JKS keystore uses a proprietary format
. Ezt az üzenetet nyugodtan figyelmen kívül hagyhatja.
2. módszer: Kulcspár és CSR Java-val
Ha elő szeretné állítani a kulcspárját és CSR Java-val, kövesse az ebben a részben ismertetett lépéseket. A folyamat ugyanaz, amelyet a CSR egy SSL /TLS igazolás Java-ban.
Hozzon létre kulcsfontosságú tárolót és kulcspárt
- Először létrehozunk egy kulcstárolót és egy nyilvános / privát kulcs párost. A Java kiterjesztésű fájlokat használ
.jks
(Java KeyStore) tanúsítványok és kriptográfiai kulcsok tárolására. Írja be a következő parancsot egy kulcstár és 3072 bites RSA kulcspár létrehozásához. (Cserélje kiMY-KEYSTORE.jks
a fájl nevével.)keytool -genkeypair -alias codeigning -keyalg RSA -keysize 3072 -keystore MY-KEYSTORE.jks
- Megjelenik egy sor utasítás. Először hozzon létre és ellenőrizzen jelszót a kulcstárhoz, majd írja be és ellenőrizze a kért információkat. (Cserélje le a nagybetűs értékeket a saját adataira.)
Írja be a kulcstároló jelszavát: Írja be újra az új jelszót: Mi az Ön kereszt- és vezetékneve? [Ismeretlen]: FIRSTNAME LASTNAME Mi a szervezeted neve? [Ismeretlen]: VÁLLALAT Mi a városod vagy településed neve? [Ismeretlen]: VÁROS Mi az Ön államának vagy tartományának a neve? [Ismeretlen]: ÁLLAPOT Mi ennek az egységnek a kétbetűs országkódja? [Ismeretlen]: USA Helyes a CN=FIRSTNAME LASTNAME, OU=DEPARTMENT, O=COMPANY, L=CITY, ST=STATE, C=US? [nem igen
- A kulcstároló fájl létrejött, és készen áll a CSR.
Generálása CSR
- Írja be a következő parancsot a CSR az imént létrehozott kulcstárból. (Cserélje ki
MY-KEYSTORE.jks
a kulcstár létrehozásakor használt értékkel ésMY-CSR.csr
a névhez, amelyet használni szeretne a CSR.)keytool -certreq -nevek kódok -fájl MY-CSR.csr -kulcstár MY-KEYSTORE.jks
- Írja be a kulcstár létrehozásakor létrehozott jelszót.
Írja be a kulcstár jelszavát:
- A CSR létrejött. Ha készen áll a tanúsítvány megrendelésére az SSL.com webhelyről, nyissa meg a fájlt egy szövegszerkesztőben, hogy másolja és beillessze a CSR mező megrendeléskor. A fájl tartalma hasonló lesz az alábbi példához:
-----BEGIN NEW CERTIFICATE REQUEST----- MIIC5TCCAc0CAQAwcDELMAkGA1UEBhMCVVMxDjAMBgNVBAgTBVNUQVRFMQ0wCwYD VQQHEwRDSVRZMRAwDgYDVQQKEwdDT01QQU5ZMRMwEQYDVQQLEwpERVBBUlRNRU5U MRswGQYDVQQDExJGSVJTVE5BTUUgTEFTVE5BTUUwggEiMA0GCSqGSIb3DQEBAQUA A4IBDwAwggEKAoIBAQCrRyk8VLs1THls+vfz0YtMJ3qYYl4c5c499d1YSbfQHa6L kIYhKTxvgdtbD+ePDigKB40CpeuMp5Yu8R6g2YIVBpGMrejAZYAmrzs6tfjpelh0 ocSDwYr7H8qQ9jq6MfZTu6J7EjS5RMODB6MVq1usKg3H866xbi6lqAtcktEF+zlM 4FW9Tm3H/DW2G7EnTjlMPzgaXNIU7lLar7YAWPJgv83NV8lQNCDW4lFlZLWBU95r YkJ4gfWUFUyPc+AiGbsyDdrVjPvF5yaebnFDrwheFaWeTTigSfLY688G7bpA8VvE lKioCl8nlJlc9HOBNKKdhs4qEtF0BwSE8tOgbkWPAgMBAAGgMDAuBgkqhkiG9w0B CQ4xITAfMB0GA1UdDgQWBBTmVpJp824krUaJKrQNhsSbVjJA1jANBgkqhkiG9w0B AQsFAAOCAQEALlux89RkXyHN4PQqQHbShSeTTWLURII+F+OSK9N1RS5l8V7AMcRM wvOkPP7JBRCKiaFGTW+5vcLQNnWRqQZMe0I4E0jzhL2gGsdChPIJy9Jwgn3Rzxmw 8V0lBY1SHQ9LKgSK0jIer3PQhXHDJlE2g2Dx8nJ4WJk7l2OTF9Kkly9hg8MOQdeg VIcs3HLsVI9Cwd6UHRT6ruKL3+bRgEcb6qj+qcrKHkzN7KXbOEznd10nAm87wENS mTb012ZFMlpUDvPNAHQgoGJ6slA+pIoH1fvrkosjql7R/H7Q+onm37Qa6d9L2ZqM MhgNpNWVwI0UBU4Xy4p9oUCJnvHhQ7U+3w== -----END NEW CERTIFICATE REQUEST-----
Rendelés és tanúsítvány letöltése
- Kövesse a következő lépéseket: Kód aláíró tanúsítványok megrendelése és visszakeresése a 24. lépésen keresztül. Ahelyett, hogy azonnal rákattintana a Létrehoz tanúsítványt gombra, jelölje be a feliratú négyzetet van sajátom CSR.
- Illessze be CSR az űrlapmezőbe, és kattintson a gombra Létrehoz tanúsítványt gombot.
- Kattintson az Letöltés gombot, és mentse a
.crt
fájl ugyanazon a helyen, ahol létrehozta a kulcstáradat.
Importálja a tanúsítványt a Keystore-ba
- A következő paranccsal importálja a tanúsítványt a Java kulcstárfájljába. (Cserélje le a MY-CERTIFICATE.crt és a MY-KEYSTORE.jks fájlokat a tényleges fájlnevekre.)
keytool -importcert -fájl MY-CERTIFICATE.crt -keystore MY-KEYSTORE.jks -trustcacerts -alias codeigning
- Amikor a rendszer kéri, adja meg a kulcstár jelszavát.
Írja be a kulcstár jelszavát:
- A tanúsítványa telepítve van a kulcstárolóba, és készen áll a fájlok aláírásának megkezdésére.
A tanúsítványválasz telepítve volt a kulcstárolóba
Jelentkezzen be fájlokat a Jarsigner segítségével
- Az alábbi paranccsal adjon időbélyegzővel ellátott digitális aláírást a
.jar
fájl. (Cserélje ki/PATH/TO/MY-KEYSTORE.jks
és aMY-JAR.jar
az Ön által használt tényleges fájlnevekkel. Ha a kulcstár beállításakor más álnevet használt, cserélje lecodesigning
a parancsban.)jarsigner -tsa http://ts.ssl.com -keystore MY-KEYSTORE.jks MY-JAR.jar codeigning
Megjegyzés: Lehetőség van aláírni a.jar
fájlokat közvetlenül egy nem konvertált PFX fájllal a-storetype pkcs12
zászló ajarsigner
parancs.
Jegyzet: Alapértelmezés szerint az SSL.com támogatja az ECDSA kulcsokból származó időbélyegeket.
Ha ezt a hibát tapasztalja:The timestamp certificate does not meet a minimum public key length requirement
, vegye fel a kapcsolatot a szoftver szállítójával, hogy engedélyezze az időbélyegeket az ECDSA-kulcsokból.
Ha a szoftvergyártó nem tudja engedélyezni a normál végpont használatát, használhatja ezt a régi végpontot.http://ts.ssl.com/legacy
hogy időbélyeget kapjon egy RSA időbélyegző egységtől. - Írja be a kulcstár jelszavát a parancssorba.
Adja meg a kulcstár jelszavát:
- A fájl most alá van írva. Az aláírást a következő paranccsal ellenőrizheti:
jarrsigner -verify -verbose MY-JAR.jar
- Ha a fájlodat sikeresen aláírták, a parancs kimenetének tartalmaznia kell ezt a sort:
s = az aláírás ellenőrzése megtörtént
IV, OV és EV kódaláírás YubiKey segítségével
Configuration
Telepítse a PKCS # 11 illesztőprogramját, és hozza létre az eToken.cfg fájlt
Windows
- Az OpenSC telepítéséhez kövesse az OpenSC utasításait Windows gyorsindítás.
- Keresse meg az OpenSC PKCS # 11 illesztőprogramot. Az alapértelmezett telepítési hely
C:\Program Files\OpenSC Project\OpenSC\pkcs11\opensc-pkcs11.dll
. - Hozzon létre egy konfigurációs fájlt, és mentse el egy kényelmes helyre (például otthoni könyvtárába). A fájlnév tetszőleges, de ebben az útmutatóban használni fogjuk
yubikey-pkcs11-java.cfg
. A fájlnak a következő információkat kell tartalmaznia:név = OpenSC-PKCS11 leírás = SunPKCS11 az OpenSC könyvtáron keresztül = C: \ Program Files \ OpenSC Project \ OpenSC \ pkcs11 \ opensc-pkcs11.dll slotListIndex = 0
MacOS
- felszerel OpenSC. Ha használja Homebrew csomagkezelőként telepítheti az OpenSC-t a következő paranccsal:
főzés telepítése opensc
- Keresse meg az OpenSC PKCS # 11 illesztőprogramot. Ha Homebrew használatával telepítette, akkor a fájlnak elérhetőnek kell lennie a következő címen:
/usr/local/lib/opensc-pkcs11.so
. - Hozzon létre egy konfigurációs fájlt, és mentse el egy kényelmes helyre (például otthoni könyvtárába). A fájlnév tetszőleges, de ebben az útmutatóban használni fogjuk
yubikey-pkcs11-java.cfg
. A fájlnak a következő információkat kell tartalmaznia:név = OpenSC-PKCS11 leírás = SunPKCS11 az OpenSC könyvtáron keresztül = /usr/local/lib/opensc-pkcs11.so slotListIndex = 0
Jelentkezzen be fájlokat a Jarsigner segítségével
- Az alábbi paranccsal adjon időbélyegzővel ellátott digitális aláírást a
.jar
fájl. (Cserélje kiMY-JAR.jar
az Ön által használt tényleges fájlnévvel.)jarsigner -tsa http://ts.ssl.com -providerClass sun.security.pkcs11.SunPKCS11 -providerArg yubikey-pkcs11-java.cfg -keystore NINCS -storetype PKCS11 MY-JAR.jar "PIV-hitelesítés tanúsítványa"
- Írja be a YubiKey PIN kódot a jelszó megadására.
Adja meg a kulcstár jelszavát:
- A fájl most alá van írva. Az aláírást a következő paranccsal ellenőrizheti:
jarrsigner -verify -verbose MY-JAR.jar
- Ha a fájlodat sikeresen aláírták, a parancs kimenetének tartalmaznia kell ezt a sort:
s = az aláírás ellenőrzése megtörtént