Panduan Penandatanganan Kode Java

Lihat Semua Panduan

Panduan ini akan membantu Anda mulai menandatangani kode Java Anda dengan file OV / IV or EV sertifikat penandatanganan kode dari SSL.com. Petunjuk ini mengasumsikan bahwa Java Development Kit (JDK) telah diinstal di komputer Anda dan file keytool dan jarsigner perintah disertakan dalam PATH Anda. Petunjuk penandatanganan kode Yubikey berasumsi bahwa sertifikat Anda dipasang di slot 9a a FIPS YubiKey token, karena dikirimkan oleh SSL.com.

Mulai 1 Juni 2023, Sertifikat Validasi Organisasi (OV) dan Validasi Individu (IV) SSL.com telah diterbitkan pada token USB Federal Information Processing Standard 140-2 (FIPS 140-2) atau melalui layanan penandatanganan kode cloud eSigner kami. Perubahan ini sesuai dengan persyaratan penyimpanan kunci baru Forum Otoritas Sertifikat/Browser (CA/B) untuk meningkatkan keamanan kunci penandatanganan kode.

Jika Anda belum memiliki sertifikat penandatanganan kode dan tidak yakin jenis yang Anda butuhkan, harap baca FAQ ini.

SSL.com Penandatanganan Kode OV / IV sertifikat adalah cara yang ekonomis untuk melindungi kode Anda dari gangguan dan kompromi yang tidak sah, dan tersedia hanya sesedikit mungkin $ 64.50 per tahun.

PESAN SEKARANG

Penandatanganan Kode OV/IV (hanya untuk sertifikat OV/IV yang diterbitkan sebelum 1 Juni 2023)

konfigurasi

Metode 1: Hasilkan CSR dan File PFX di Browser

Metode paling sederhana untuk memulai dengan cepat dengan penandatanganan kode Java adalah dengan menghasilkan CSR dan file PFX saat mengambil sertifikat Anda dari SSL.com dan menginstalnya di keystore Java baru.

Catatan: Dimungkinkan juga untuk menandatangani .jar file langsung dengan file PFX yang tidak dikonversi dengan menambahkan -storetype pkcs12 bendera ke jarsigner perintah.
  1. Ikuti langkah-langkah yang ditunjukkan di Memesan dan Mengambil Sertifikat Penandatanganan Kode untuk memesan sertifikat Anda dan mengunduh file PFX dengan sertifikat dan kunci pribadi Anda.
  2. Impor PFX ke keystore baru dengan kata sandi yang sama dengan menggunakan perintah di bawah ini. (Menggantikan MY-CERTIFICATE.p12 dan MY-KEYSTORE.jks dengan nama sebenarnya dari file PFX Anda dan nama file yang ingin Anda berikan pada keystore Anda. Perhatikan juga bahwa file destalias sewenang-wenang dan Anda dapat menggunakan nilai alias lain jika diinginkan.) 
    keytool -importkeystore -srckeystore MY-PFX.p12 -srcstoretype pkcs12 -srcalias 1 -destkeystore MY-KEYSTORE.jks -deststoretype JKS -destalias codesigning
    Catatan: Nilai untuk -srcalias untuk file PFX yang diunduh dari SSL.com biasanya adalah 1, tetapi Anda dapat mengonfirmasi ini dengan menjalankan perintah keytool -list -v -storetype pkcs12 -keystore MY-PFX.P12 dan memeriksa nilai yang ditampilkan Alias name.
  3. Anda akan dimintai kata sandi untuk keystore tujuan, lalu kata sandi keystore sumber (kata sandi yang Anda masukkan saat membuat PFX). Anda mungkin juga melihat pesan peringatan yang dimulai dengan Warning: The JKS keystore uses a proprietary format. Anda boleh mengabaikan pesan ini dengan aman.

Metode 2: Hasilkan Pasangan Kunci dan CSR dengan Java

Jika Anda lebih suka membuat Pasangan Kunci dan CSR dengan Java, ikuti langkah-langkah di bagian ini. Prosesnya sama dengan yang digunakan untuk membuat file CSR untuk SSL /TLS sertifikat di Jawa.

Buat Keystore dan Key Pair
  1. Pertama, kami akan membuat keystore dan pasangan kunci publik / pribadi. Java menggunakan file dengan ekstensi .jks (Java KeyStore) untuk menyimpan sertifikat dan kunci kriptografi. Masukkan perintah berikut untuk membuat keystore dan pasangan kunci RSA 3072-bit. (Menggantikan MY-KEYSTORE.jks dengan nama yang Anda inginkan untuk file tersebut.) 
    keytool -genkeypair -alias pembuatan kode -keyalg RSA -keysize 3072 -keystore MY-KEYSTORE.jks
  2. Anda akan diberikan serangkaian petunjuk. Pertama, buat dan verifikasi kata sandi untuk keystore, lalu masukkan dan verifikasi informasi yang diminta. (Ganti nilai yang ditampilkan dalam huruf kapital semua dengan informasi Anda sendiri.) 
    Masukkan kata sandi keystore: Masukkan kembali kata sandi baru: Apa nama depan dan belakang Anda? [Unknown]: FIRSTNAME LASTNAME Apa nama organisasi Anda? [Tidak Diketahui]: PERUSAHAAN Apa nama Kota atau Lokalitas Anda? [Tidak Diketahui]: CITY Apa nama Negara Bagian atau Provinsi Anda? [Tidak diketahui]: STATE Apa kode negara dua huruf untuk unit ini? [Tidak diketahui]: US Apakah CN=FIRSTNAME NAMA BELAKANG, OU=DEPARTMENT, O=COMPANY, L=CITY, ST=STATE, C=US benar? [Tidak iya
  3. File keystore telah dibuat dan Anda siap membuat file CSR.
Menghasilkan CSR
  1. Masukkan perintah berikut untuk menghasilkan CSR dari keystore yang baru saja kita buat. (Menggantikan MY-KEYSTORE.jks dengan nilai yang Anda gunakan saat membuat keystore dan MY-CSR.csr dengan nama yang ingin Anda gunakan untuk CSR.) 
    alat kunci -certreq -alias pembuatan kode -file SAYA-CSR.csr -keystore SAYA-KEYSTORE.jks
  2. Masukkan kata sandi yang Anda buat saat membuat keystore. 
    Masukkan kata sandi keystore:
  3. Grafik CSR telah dibuat. Jika Anda siap memesan sertifikat dari SSL.com, buka file di editor teks untuk disalin dan ditempelkan ke CSR bidang saat memesan. Isi file akan terlihat seperti contoh di bawah ini: 
    -----BEGIN NEW CERTIFICATE REQUEST-----
MIIC5TCCAc0CAQAwcDELMAkGA1UEBhMCVVMxDjAMBgNVBAgTBVNUQVRFMQ0wCwYD
VQQHEwRDSVRZMRAwDgYDVQQKEwdDT01QQU5ZMRMwEQYDVQQLEwpERVBBUlRNRU5U
MRswGQYDVQQDExJGSVJTVE5BTUUgTEFTVE5BTUUwggEiMA0GCSqGSIb3DQEBAQUA
A4IBDwAwggEKAoIBAQCrRyk8VLs1THls+vfz0YtMJ3qYYl4c5c499d1YSbfQHa6L
kIYhKTxvgdtbD+ePDigKB40CpeuMp5Yu8R6g2YIVBpGMrejAZYAmrzs6tfjpelh0
ocSDwYr7H8qQ9jq6MfZTu6J7EjS5RMODB6MVq1usKg3H866xbi6lqAtcktEF+zlM
4FW9Tm3H/DW2G7EnTjlMPzgaXNIU7lLar7YAWPJgv83NV8lQNCDW4lFlZLWBU95r
YkJ4gfWUFUyPc+AiGbsyDdrVjPvF5yaebnFDrwheFaWeTTigSfLY688G7bpA8VvE
lKioCl8nlJlc9HOBNKKdhs4qEtF0BwSE8tOgbkWPAgMBAAGgMDAuBgkqhkiG9w0B
CQ4xITAfMB0GA1UdDgQWBBTmVpJp824krUaJKrQNhsSbVjJA1jANBgkqhkiG9w0B
AQsFAAOCAQEALlux89RkXyHN4PQqQHbShSeTTWLURII+F+OSK9N1RS5l8V7AMcRM
wvOkPP7JBRCKiaFGTW+5vcLQNnWRqQZMe0I4E0jzhL2gGsdChPIJy9Jwgn3Rzxmw
8V0lBY1SHQ9LKgSK0jIer3PQhXHDJlE2g2Dx8nJ4WJk7l2OTF9Kkly9hg8MOQdeg
VIcs3HLsVI9Cwd6UHRT6ruKL3+bRgEcb6qj+qcrKHkzN7KXbOEznd10nAm87wENS
mTb012ZFMlpUDvPNAHQgoGJ6slA+pIoH1fvrkosjql7R/H7Q+onm37Qa6d9L2ZqM
MhgNpNWVwI0UBU4Xy4p9oUCJnvHhQ7U+3w==
-----END NEW CERTIFICATE REQUEST-----
Pesan dan Ambil Sertifikat
  1. Ikuti langkah-langkah yang ditunjukkan di Memesan dan Mengambil Sertifikat Penandatanganan Kode melalui langkah 24. Daripada langsung mengklik Hasilkan Sertifikat tombol, centang kotak berlabel Saya punya sendiri CSR.
    Saya punya sendiri CSR
  2. Tempel file CSR ke dalam bidang formulir dan klik Hasilkan Sertifikat .
    pasta CSR dan menghasilkan sertifikat
  3. klik Unduh tombol dan simpan .crt file di tempat yang sama saat Anda membuat keystore.
    Unduh
Impor Sertifikat ke Keystore
  1. Gunakan perintah berikut untuk mengimpor sertifikat ke dalam file keystore Java Anda. (Ganti MY-CERTIFICATE.crt dan MY-KEYSTORE.jks dengan nama file yang sebenarnya.) 
    keytool -importcert -file MY-CERTIFICATE.crt -keystore MY-KEYSTORE.jks -trustcacerts -alias penandatanganan kode
  2. Masukkan kata sandi keystore saat diminta. 
    Masukkan kata sandi keystore:
  3. Sertifikat Anda dipasang di keystore dan Anda siap untuk mulai menandatangani file. 
    Balasan sertifikat telah diinstal di keystore

Menandatangani File dengan Jarsigner

  1. Gunakan perintah berikut untuk menambahkan tanda tangan digital yang diberi cap waktu ke a .jar mengajukan. (Menggantikan /PATH/TO/MY-KEYSTORE.jks dan MY-JAR.jar dengan nama file sebenarnya yang Anda gunakan. Jika Anda menggunakan alias yang berbeda saat menyiapkan keystore, gantilah dengan codesigning dalam perintah.) 
    jarsigner -tsa http://ts.ssl.com -keystore MY-KEYSTORE.jks MY-JAR.jar desain kode
    Catatan: Dimungkinkan juga untuk menandatangani .jar file langsung dengan file PFX yang tidak dikonversi dengan menambahkan -storetype pkcs12 bendera ke jarsigner perintah.

    Catatan: Secara default, SSL.com mendukung stempel waktu dari kunci ECDSA.

    Jika Anda mengalami kesalahan ini: The timestamp certificate does not meet a minimum public key length requirement, Anda harus menghubungi vendor perangkat lunak untuk mengizinkan stempel waktu dari kunci ECDSA.

    Jika tidak ada cara bagi vendor perangkat lunak Anda untuk mengizinkan penggunaan titik akhir normal, Anda dapat menggunakan titik akhir warisan ini http://ts.ssl.com/legacy untuk mendapatkan stempel waktu dari Unit Stempel Waktu RSA.
  2. Masukkan kata sandi keystore saat diminta. 
    Masukkan Frasa Sandi untuk keystore:
  3. File sekarang sudah ditandatangani. Anda dapat memverifikasi tanda tangan dengan perintah berikut: 
    jarsigner -verifikasikan -verbose MY-JAR.jar
  4. Jika file Anda berhasil ditandatangani, output dari perintah harus menyertakan baris ini: 
    s = tanda tangan telah diverifikasi

 

Pergi ke atas

Penandatanganan Kode IV, OV, dan EV dengan YubiKey

SSL.com Penandatanganan Kode EV sertifikat menawarkan penandatanganan kode mode kernel Windows 10 dan peningkatan reputasi SmartScreen instan, semuanya serendah $ 240.00 per tahun. Mereka dikirim dengan aman FIPS YubiKey Token USB dengan otentikasi dua faktor.

PESAN SEKARANG

konfigurasi

Instal Driver PKCS # 11 dan Buat File eToken.cfg

Windows
  1. Instal OpenSC dengan mengikuti instruksi di OpenSC Mulai Cepat Windows.
  2. Temukan driver OpenSC PKCS # 11. Lokasi penginstalan default adalah C:\Program Files\OpenSC Project\OpenSC\pkcs11\opensc-pkcs11.dll.
  3. Buat file konfigurasi dan simpan di lokasi yang nyaman (seperti direktori home Anda). Nama file sewenang-wenang, tetapi dalam panduan ini kami akan menggunakan yubikey-pkcs11-java.cfg. File tersebut harus berisi informasi berikut: 
    name = OpenSC-PKCS11 description = SunPKCS11 melalui OpenSC library = C: \ Program Files \ OpenSC Project \ OpenSC \ pkcs11 \ opensc-pkcs11.dll slotListIndex = 0
MacOS
  1. Install OpenSC. Jika Anda menggunakan Sesuatu yg sederhana sebagai manajer paket, Anda dapat menginstal OpenSC dengan perintah berikut: 
    buat install opensc
  2. Temukan driver OpenSC PKCS # 11. Jika Anda menginstal menggunakan Homebrew, file tersebut seharusnya tersedia di /usr/local/lib/opensc-pkcs11.so.
  3. Buat file konfigurasi dan simpan di lokasi yang nyaman (seperti direktori home Anda). Nama file sewenang-wenang, tetapi dalam panduan ini kami akan menggunakan yubikey-pkcs11-java.cfg. File tersebut harus berisi informasi berikut: 
    name = OpenSC-PKCS11 description = SunPKCS11 via OpenSC library = /usr/local/lib/opensc-pkcs11.so slotListIndex = 0

Menandatangani File dengan Jarsigner

  1. Gunakan perintah berikut untuk menambahkan tanda tangan digital yang diberi cap waktu ke a .jar mengajukan. (Menggantikan MY-JAR.jar dengan nama file sebenarnya yang Anda gunakan.) 
    jarsigner -tsa http://ts.ssl.com -providerClass sun.security.pkcs11.SunPKCS11 -providerArg yubikey-pkcs11-java.cfg -keystore NONE -storetype PKCS11 MY-JAR.jar "Certificate for PIV Authentication"
  2. Masukkan PIN YubiKey Anda pada prompt frasa sandi. 
    Masukkan Frasa Sandi untuk keystore:
  3. File sekarang sudah ditandatangani. Anda dapat memverifikasi tanda tangan dengan perintah berikut: 
    jarsigner -verifikasikan -verbose MY-JAR.jar
  4. Jika file Anda berhasil ditandatangani, output dari perintah harus menyertakan baris ini: 
    s = tanda tangan telah diverifikasi
Terima kasih telah memilih SSL.com! Jika Anda memiliki pertanyaan, silakan hubungi kami melalui email di Support@SSL.com, panggil 1-877-SSL-SECURE, atau cukup klik tautan obrolan di kanan bawah halaman ini. Anda juga dapat menemukan jawaban atas banyak pertanyaan dukungan umum di kami dasar pengetahuan.

 

Twitter
Facebook
LinkedIn
Reddit
Email

Tim Dukungan SSL.com

Penulis - Administrator Konten
Semua Posting »

Tetap Terinformasi dan Aman

SSL.com adalah pemimpin global dalam keamanan siber, PKI dan sertifikat digital. Daftar untuk menerima berita industri terkini, tips, dan pengumuman produk dari SSL.com.

Kami sangat menantikan tanggapan Anda

Ikuti survei kami dan beri tahu kami pendapat Anda tentang pembelian terakhir Anda.

Ikuti Survei