打包 3rd 方插件的常用数字签名策略是什么?
我的 webstart 应用程序在其 JNLP 中使用了许多扩展来利用各种库。例如,应用程序是使用 Eclipse 的 Equinox 技术构建的,因此一些 JAR 使用 Eclipse 签名进行签名。虽然安装时 Java 询问“你想运行这个应用程序吗?”,但很尴尬,名称:MyApplication,发布者:Eclipse.org Foundation, Inc. 显然,这可能会让最终用户感到困惑,以为 MyApplication 是由 Eclipse 编写的.org。
没有使用我自己的证书从头开始编译和签署所有包,这种情况的最佳解决方案是什么?
我尝试简单地对已经签名的 Eclipse jar 进行签名,但是当我运行 jarsigner 时,我得到:“无效的 SHA1 签名文件摘要”