0

打包 3rd 方插件的常用数字签名策略是什么?

我的 webstart 应用程序在其 JNLP 中使用了许多扩展来利用各种库。例如,应用程序是使用 Eclipse 的 Equinox 技术构建的,因此一些 JAR 使用 Eclipse 签名进行签名。虽然安装时 Java 询问“你想运行这个应用程序吗?”,但很尴尬,名称:MyApplication,发布者:Eclipse.org Foundation, Inc. 显然,这可能会让最终用户感到困惑,以为 MyApplication 是由 Eclipse 编写的.org。

没有使用我自己的证书从头开始编译和签署所有包,这种情况的最佳解决方案是什么?

我尝试简单地对已经签名的 Eclipse jar 进行签名,但是当我运行 jarsigner 时,我得到:“无效的 SHA1 签名文件摘要”

4

1 回答 1

1

maven 和ant 有signjar 插件,可以在其中指定keystore(certificate)。

如果您没有,请使用 Java 创建密钥库,您可以在其中键入发布者名称。

于 2013-07-30T07:41:16.207 回答