Bu kılavuz, Java kodunuzu bir OV / IV or EV SSL.com'dan kod imzalama sertifikası. Bu talimatlar, bilgisayarınızda Java Geliştirme Kiti'nin (JDK) kurulu olduğunu ve keytool
ve jarsigner
komutlar PATH'inize dahildir. Yubikey kod imzalama talimatları, sertifikanızın 9a yuvasına kurulu olduğunu varsayar. YubiKey FIPS'i token, SSL.com tarafından gönderildikleri için.
Henüz bir kod imzalama sertifikanız yoksa ve hangi türe ihtiyacınız olduğundan emin değilseniz, lütfen okuyun bu SSS.
OV/IV Kodu İmzalama (yalnızca 1 Haziran 2023'ten önce verilen OV/IV sertifikaları için)
yapılandırma
Yöntem 1: Oluştur CSR ve Tarayıcıda PFX Dosyası
Java kod imzalamaya hızlı bir şekilde başlamanın en basit yöntemi, bir CSR ve sertifikanızı SSL.com'dan alırken PFX dosyası ve yeni bir Java anahtar deposuna yükleyin.
.jar
dosyaları doğrudan dönüştürülmemiş bir PFX dosyasıyla ekleyerek -storetype pkcs12
bayrak jarsigner
Komut.- Gösterilen adımları izleyin. Kod İmzalama Sertifikalarını Sipariş Etme ve Alma sertifikanızı sipariş etmek ve sertifikanız ve özel anahtarınızla bir PFX dosyası indirmek için.
- Aşağıdaki komutu kullanarak PFX'i aynı parolayla yeni bir anahtar deposuna aktarın. (Değiştir
MY-CERTIFICATE.p12
veMY-KEYSTORE.jks
PFX dosyanızın gerçek adı ve anahtar deponuza vermek istediğiniz dosya adı ile. Ayrıca,destalias
keyfidir ve isterseniz başka bir takma ad değeri kullanabilirsiniz.)keytool -importkeystore -srckeystore MY-PFX.p12 -srcstoretype pkcs12 -srcalias 1 -destkeystore MY-KEYSTORE.jks -deststoretype JKS -destalias kod imzalama
Not: Değeri-srcalias
SSL.com'dan indirilen PFX dosyası için normalde1
, ancak bunu şu komutu çalıştırarak onaylayabilirsiniz:keytool -list -v -storetype pkcs12 -keystore MY-PFX.P12
ve gösterilen değeri kontrol etmekAlias name
. - Hedef anahtar deposu için bir parola girmeniz ve ardından kaynak anahtar deposu parolası (PFX'i oluştururken girdiğiniz parola) istenir. Ayrıca ile başlayan bir uyarı mesajı da görebilirsiniz.
Warning: The JKS keystore uses a proprietary format
. Bu mesajı güvenle göz ardı edebilirsiniz.
Yöntem 2: Anahtar Çifti Oluşturun ve CSR Java ile
Anahtar Çiftinizi oluşturmayı tercih ederseniz ve CSR Java ile bu bölümdeki adımları izleyin. İşlem, oluşturmak için kullanılanla aynıdır. CSR bir ... için SSL /TLS sertifika Java.
Anahtar Deposu ve Anahtar Çifti Oluşturun
- İlk olarak, bir anahtar deposu ve genel / özel anahtar çifti oluşturacağız. Java, şu uzantıya sahip dosyaları kullanır
.jks
(Java KeyStore) sertifikaları ve kriptografik anahtarları depolamak için. Bir anahtar deposu ve 3072 bit RSA anahtar çifti oluşturmak için aşağıdaki komutu girin. (DeğiştirMY-KEYSTORE.jks
Dosyanın sahip olmasını istediğiniz adla.)keytool -genkeypair -alias kod imzalama -keyalg RSA -keysize 3072 -keystore MY-KEYSTORE.jks
- Bir dizi bilgi istemiyle karşılaşacaksınız. Önce, anahtar deposu için bir parola oluşturun ve doğrulayın, ardından istenen bilgileri girin ve doğrulayın. (Tam olarak büyük harfle gösterilen değerleri kendi bilgilerinizle değiştirin.)
Anahtar deposu parolasını girin: Yeni parolayı tekrar girin: Adınız ve soyadınız nedir? [Bilinmeyen]: ADI SOYADI Kuruluşunuzun adı nedir? [Bilinmeyen]: ŞİRKET Şehrinizin veya Bulunduğunuz Yerin adı nedir? [Bilinmeyen]: ŞEHİR Eyaletinizin veya İlinizin adı nedir? [Bilinmeyen]: STATE Bu birimin iki harfli ülke kodu nedir? [Bilinmeyen]: ABD CN=AD SOYADI, OU=BÖLÜM, O=ŞİRKET, L=ŞEHİR, ST=DEVLET, C=ABD doğru mu? [Hayır Evet
- Anahtar deposu dosyası oluşturuldu ve bir CSR.
Oluşturmak CSR
- Oluşturmak için aşağıdaki komutu girin CSR oluşturduğumuz anahtar deposundan. (Değiştir
MY-KEYSTORE.jks
anahtar deposunu oluştururken kullandığınız değerle veMY-CSR.csr
için kullanmak istediğiniz adla CSR.)keytool -certreq -alias codeigning -file MY-CSR.csr -anahtar deposu MY-KEYSTORE.jks
- Anahtar deposunu oluştururken oluşturduğunuz şifreyi girin.
Anahtar deposu şifresini girin:
- The CSR yaratıldı. Sertifikanızı SSL.com'dan sipariş etmeye hazırsanız, dosyayı kopyalayıp şuraya yapıştırmak için bir metin düzenleyicide açın. CSR sipariş verirken alan. Dosyanın içeriği, aşağıda gösterilen örnek gibi görünecektir:
-----BEGIN NEW CERTIFICATE REQUEST----- MIIC5TCCAc0CAQAwcDELMAkGA1UEBhMCVVMxDjAMBgNVBAgTBVNUQVRFMQ0wCwYD VQQHEwRDSVRZMRAwDgYDVQQKEwdDT01QQU5ZMRMwEQYDVQQLEwpERVBBUlRNRU5U MRswGQYDVQQDExJGSVJTVE5BTUUgTEFTVE5BTUUwggEiMA0GCSqGSIb3DQEBAQUA A4IBDwAwggEKAoIBAQCrRyk8VLs1THls+vfz0YtMJ3qYYl4c5c499d1YSbfQHa6L kIYhKTxvgdtbD+ePDigKB40CpeuMp5Yu8R6g2YIVBpGMrejAZYAmrzs6tfjpelh0 ocSDwYr7H8qQ9jq6MfZTu6J7EjS5RMODB6MVq1usKg3H866xbi6lqAtcktEF+zlM 4FW9Tm3H/DW2G7EnTjlMPzgaXNIU7lLar7YAWPJgv83NV8lQNCDW4lFlZLWBU95r YkJ4gfWUFUyPc+AiGbsyDdrVjPvF5yaebnFDrwheFaWeTTigSfLY688G7bpA8VvE lKioCl8nlJlc9HOBNKKdhs4qEtF0BwSE8tOgbkWPAgMBAAGgMDAuBgkqhkiG9w0B CQ4xITAfMB0GA1UdDgQWBBTmVpJp824krUaJKrQNhsSbVjJA1jANBgkqhkiG9w0B AQsFAAOCAQEALlux89RkXyHN4PQqQHbShSeTTWLURII+F+OSK9N1RS5l8V7AMcRM wvOkPP7JBRCKiaFGTW+5vcLQNnWRqQZMe0I4E0jzhL2gGsdChPIJy9Jwgn3Rzxmw 8V0lBY1SHQ9LKgSK0jIer3PQhXHDJlE2g2Dx8nJ4WJk7l2OTF9Kkly9hg8MOQdeg VIcs3HLsVI9Cwd6UHRT6ruKL3+bRgEcb6qj+qcrKHkzN7KXbOEznd10nAm87wENS mTb012ZFMlpUDvPNAHQgoGJ6slA+pIoH1fvrkosjql7R/H7Q+onm37Qa6d9L2ZqM MhgNpNWVwI0UBU4Xy4p9oUCJnvHhQ7U+3w== -----END NEW CERTIFICATE REQUEST-----
Sertifika Sipariş Et ve Al
- Gösterilen adımları izleyin. Kod İmzalama Sertifikalarını Sipariş Etme ve Alma 24. adıma geçin. Hemen tıklamaktansa Sertifika Oluştur düğmesi, etiketli kutuyu işaretleyin Kendim var CSR.
- Yapıştırın CSR form alanına girin ve Sertifika Oluştur düğmesine basın.
- Tıkla İndir düğmesine basın ve
.crt
anahtar deponuzu oluşturduğunuz yerde.
Sertifikayı Anahtar Deposuna Aktar
- Sertifikayı Java anahtar deposu dosyanıza aktarmak için aşağıdaki komutu kullanın. (MY-CERTIFICATE.crt ve MY-KEYSTORE.jks'yi gerçek dosya adlarıyla değiştirin.)
keytool -importcert -file MY-CERTIFICATE.crt -keystore MY-KEYSTORE.jks -trustcacerts -alias kod imzalama
- İstendiğinde anahtar deposu şifresini girin.
Anahtar deposu şifresini girin:
- Sertifikanız anahtar deposuna yüklenir ve dosyaları imzalamaya hazırsınız.
Anahtar deposuna sertifika yanıtı yüklendi
Dosyaları Jarsigner ile İmzalayın
- Bir zaman damgalı dijital imza eklemek için aşağıdaki komutu kullanın.
.jar
dosya. (Değiştir/PATH/TO/MY-KEYSTORE.jks
veMY-JAR.jar
kullandığınız gerçek dosya adlarıyla. Anahtar deponuzu kurarken farklı bir takma ad kullandıysanız, bunun yerinecodesigning
komutta.)jarsigner -tsa http://ts.ssl.com -keystore MY-KEYSTORE.jks MY-JAR.jar kod imzalama
Not: Ayrıca imzalamanız da mümkündür..jar
dosyaları doğrudan dönüştürülmemiş bir PFX dosyasıyla ekleyerek-storetype pkcs12
bayrakjarsigner
Komut.
Not: Varsayılan olarak SSL.com, ECDSA anahtarlarından alınan zaman damgalarını destekler.
Bu hatayla karşılaşırsanız:The timestamp certificate does not meet a minimum public key length requirement
, ECDSA anahtarlarından zaman damgalarına izin vermek için yazılım satıcınızla iletişime geçmelisiniz.
Yazılım satıcınızın normal uç noktanın kullanılmasına izin vermesinin bir yolu yoksa, bu eski uç noktayı kullanabilirsiniz.http://ts.ssl.com/legacy
RSA Zaman Damgası Birimi'nden bir zaman damgası almak için. - İstendiğinde anahtar deposu parolasını girin.
Anahtar deposu için Parola girin:
- Dosya şimdi imzalanmıştır. İmzayı aşağıdaki komutla doğrulayabilirsiniz:
jarsigner -doğrula -ayrıntılı MY-JAR.jar
- Dosyanız başarıyla imzalandıysa, komutun çıktısı şu satırı içermelidir:
s = imza doğrulandı
YubiKey ile IV, OV ve EV Kod İmzalama
yapılandırma
PKCS # 11 Sürücüsünü Kurun ve eToken.cfg Dosyası Oluşturun
Windows
- OpenSC’deki talimatları izleyerek OpenSC’yi kurun. Windows Hızlı Başlangıç.
- OpenSC PKCS # 11 sürücüsünü bulun. Varsayılan yükleme konumu
C:\Program Files\OpenSC Project\OpenSC\pkcs11\opensc-pkcs11.dll
. - Bir yapılandırma dosyası oluşturun ve uygun bir konuma kaydedin (ana dizininiz gibi). Dosya adı isteğe bağlıdır, ancak bu kılavuzda kullanacağız
yubikey-pkcs11-java.cfg
. Dosya aşağıdaki bilgileri içermelidir:name = OpenSC-PKCS11 description = OpenSC kitaplığı aracılığıyla SunPKCS11 = C: \ Program Files \ OpenSC Projesi \ OpenSC \ pkcs11 \ opensc-pkcs11.dll slotListIndex = 0
macOS
- kurmak OpenSC. Eğer kullanırsan Ev yapımı içki bir paket yöneticisi olarak, aşağıdaki komutla OpenSC'yi kurabilirsiniz:
demlemek opensc yüklemek
- OpenSC PKCS # 11 sürücüsünü bulun. Homebrew kullanarak kurulum yaptıysanız, dosya şu adreste bulunmalıdır:
/usr/local/lib/opensc-pkcs11.so
. - Bir yapılandırma dosyası oluşturun ve uygun bir konuma kaydedin (ana dizininiz gibi). Dosya adı isteğe bağlıdır, ancak bu kılavuzda kullanacağız
yubikey-pkcs11-java.cfg
. Dosya aşağıdaki bilgileri içermelidir:name = OpenSC-PKCS11 description = OpenSC kitaplığı aracılığıyla SunPKCS11 = /usr/local/lib/opensc-pkcs11.so slotListIndex = 0
Dosyaları Jarsigner ile İmzalayın
- Bir zaman damgalı dijital imza eklemek için aşağıdaki komutu kullanın.
.jar
dosya. (DeğiştirMY-JAR.jar
kullandığınız gerçek dosya adı ile.)jarsigner -tsa http://ts.ssl.com -providerClass sun.security.pkcs11.SunPKCS11 -providerArg yubikey-pkcs11-java.cfg -keystore NONE -storetype PKCS11 MY-JAR.jar "PIV Kimlik Doğrulaması Sertifikası"
- Parola isteminde YubiKey PIN kodunuzu girin.
Anahtar deposu için Parola girin:
- Dosya şimdi imzalanmıştır. İmzayı aşağıdaki komutla doğrulayabilirsiniz:
jarsigner -doğrula -ayrıntılı MY-JAR.jar
- Dosyanız başarıyla imzalandıysa, komutun çıktısı şu satırı içermelidir:
s = imza doğrulandı